我一直在阅读如何保护我的.php包含 . 主要的建议选项是将我想要保护的.php文件放在提供.php文件的文件夹之外,在我的情况下是/ public_html .
所以,我决定创建一个名为/ includes的文件夹,然后从/ public_html .php文件中访问我的.php包含,如../includes/file.php . 这很好用,但我有点偏执 .
我可以继续使用以下行添加.htaccess:/ includes:
Deny from all
我知道用户不应该在我的情况下访问/ includes . 但是,在任何情况下,/ include中的.htaccess文件是否会伤害我?
谢谢 .
1 回答
一个非常好的方法是让前端控制器(FC)管理所有资源请求,并通过htaccess将所有内容路由到FC .
然后,如果有人试图访问您网站上的某些内容,它将通过FC进行路由 . 它将依次调用路由器,该路由器应该只允许以特定目录中的方式加载文件 .
所以试图导航到(例如)
includes/someScript.php
不会工作,因为FC不会将web请求路由到包含目录 .这不会影响您在PHP文件中要求它们,因为此请求不会通过FC .