哪种方法可以阻止直接访问网站的某些目录?
1-在我们要保护的每个目录中创建并放置.htaccess文件,并在其中放置下一行:
Deny from all
2-在我们要保护的每个目录中创建并放置index.php文件,并仅在其中放置下一行代码(将重定向到网站的主页):
<?php header("Location: http://" . $_SERVER['HTTP_HOST']); ?>
3-别的什么(它是什么?)
答案 0 :(得分:5)
如评论中所述,最安全的方法是将内容或目录放在Web服务器的公共文档根目录之外。这将确保即使删除.htaccess文件或服务器不允许.htaccess覆盖,也不会提供内容。
要确定您的文档根目录,您只需回显PHP $_SERVER['DOCUMENT_ROOT']变量即可。因此,如果您的根是/var/www/html,则可以创建文件夹/var/www/protected_folder,而Apache(或其他Web服务器)将永远不会为其提供服务(除非更改http.conf文件以修改文档根文件夹)。
如果文件夹必须位于文档根目录中,那么使用.htaccess文件进行DENY或重定向是一个不错的选择。
正如TerryE所提到的,您还可以使用操作系统级文件权限拒绝Apache用户访问该文件夹(将其他用户设置为所有者,然后将该文件夹的权限设置为700,例如) 。如果他们尝试访问该文件夹,他们将获得您可能不想显示的403 Forbidden Error(尽管您可以在http.conf或htaccess中设置自定义403错误处理程序)。具体取决于您尝试做什么,您可能需要这种方法,因为如果您愿意,它还可以阻止脚本(即PHP include()等)的访问,因为PHP默认情况下在Web服务器用户下运行。这种方法的主要缺点是在迁移过程中通常不会保留文件权限(如果它们没有正确完成),并且在使用递归标记更改父文件夹权限时有时会无意中重置文件权限(而不会有人不经意地将文件夹移动到文档根目录中。)