我有一个webapp,我将大部分PHP代码分别保存在控制器中。这些控制器在文件开头具有用户身份验证。如果用户通过身份验证,其余代码将运行,并且根据操作,将包含HTML模板/视图。这些模板文件具有命名方案file.html.php。
所以我的问题是,我在控制器上有用户身份验证,但是什么阻止某人在URL中点击我的模板?请注意,这些模板100%无用,因为数据没有从数据库中提取,因为我的所有PHP /数据库代码都在控制器中。
停止此操作的一种方法是将身份验证检查添加到我的模板文件中,但之后我会在常规页面加载时多次检查身份验证。
另一种方法是我考虑在apache中编辑我的httpd.conf以拒绝使用reg表达式访问这些文件,就像.htaccess文件被阻止了以下内容。
<FilesMatch "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</FilesMatch>
在我这样做之前,其他人在这种情况下做了什么?