У меня есть php файл, который наследует (включает) другие файлы PHP. Все унаследованные файлы находятся в одной папке с именем "includes". Я хочу иметь возможность ограничить прямой доступ к этой папке. Только файлы PHP на сервере могут связываться с файлами в папке "Включает". Как я могу использовать .htaccess для достижения такой цели?
FYI, я использовал следующий код, и он не работал
Order deny,allow
deny from all
Любая помощь будет оценена
Если у вас нет возможности фактически перемещать папку "включает" вне области "Корневая область документа" и с помощью include_path (т.е. вы не можете добраться до него из Интернета), введите
deny from all
в каталоге .htaccess в этом каталоге.
Однако альтернативой является использование директивы DEFINES, позволяющей разрешать доступ только к тем, которые включают в себя программы по определенным авторизованным файлам. Например, поместите
<?php defined('ACCESS_ALLOWED') or die('Restricted Access'); ?>
в верхней части включенных файлов, а затем поместите
<?php define('ACCESS_ALLOWED', 1); ?>
в программах, которым разрешено включать эти файлы.
Это предотвратит случайные GET для тех, которые включают в себя файлы от их запуска, и будет работать на любом веб-сервере, а не только на тех, которые поддерживают файлы htaccess.
в вашем include/.htaccess:
Order deny,allow
deny from all
Фактически вы можете просто использовать index.php и передать заголовок 404 с помощью header():
header('HTTP/1.1 404 Not Found', 404);
IMO, это лучше, чем 403, так как он, как и папка, не существует. Что касается включенных файлов, поместите эту строку над первой строкой include/require основного файла:
define('INCLUDED', true);
И в каждом файле в каталоге include поместите это в большинстве своем.
if (!defined(INCLUDED)) {
header('HTTP/1.1 404 Not Found', 404);
}
Вы можете запретить прямой доступ к папке, используя следующие директивы в htaccess или server.config contex:
Решение, основанное на модульном псевдониме
Redirect 403 ^/folder/.+$
Это перенаправит все файлы и директории/папку/на страницу запрещенной ошибки 403.
Модифицированное базовое решение:
RewriteEngine on
RewriteRule ^/?folder/.+$ - [F]
В зависимости от возможных других параметров, установленных на более высоком уровне, вам может потребоваться использовать:
Satisfy all
Order deny,allow
Deny from all
Я столкнулся с этим, когда верхний каталог определил базовую аутентификацию, включая строку:
Satisfy any
Это мешало моему отказу от всех вступить в силу, потому что пользователи прошли аутентификацию.