ここにシナリオがあります:
index.phpルートフォルダにファイルがありますindex.phpいincludesます。submit.php)は、フォーム送信アクションのルートフォルダーにあります。includeshtaccessによるフォルダー内のファイルへの直接ユーザーアクセスを制限したい。またsubmit.php。ただし、includeはindex.phpファイルに対して機能します。同様に、ユーザーがと入力すると、www.domain.com/includes/somepage.php制限されます(エラーページにリダイレクトされる場合があります)。
回答:
includesフォルダーをweb-rootの外に移動するだけですが、フォルダー全体への直接アクセスをブロックしたい場合はincludes、次のもの.htaccessだけを含むファイルをそのフォルダーに置くことができます。
deny from allこの方法では、そのフォルダーからファイルを開くことはできませんが、問題なくphpに含めることができます。
Filesディレクティブを使用してすべてのファイルへのアクセスを禁止し、それを再び使用してアクセス可能なファイルを設定することが可能です。
<Files ~ "^.*">
Deny from all
</Files>
<Files ~ "^index\.php|css|js|.*\.png|.*\.jpg|.*\.gif">
Allow from all
</Files>
1ライナーmod_aliasベースのソリューション:
RedirectMatch 403 ^/folder/file.php$/folder/file.phpの禁止エラーが表示されます
^folderです。
Qは2つの部分で構成されます。jeroenとanubhavaの両方のソリューションは、パートIで機能し、/ includesへのアクセスを拒否します。anubhavaはパートIIでも機能します。私はDOCROOT/.htaccessとにかく使用するので後者を好みます、そしてこれはそのようなすべての制御を1つのファイルに保持します。
しかし、私が話したかったのは、「アクセスを拒否する」という概念ですsubmit.php。あなたが使いたくないならsubmit.php、なぜそれをDOCROOTに持っているのですか?ここでの答えは、いくつかのフォームでアクションターゲットとして使用し、フォームが送信されたときにのみ発生させ、スパムボットなどから直接は発生させないようにすることです。
これが当てはまる場合、フォームが失敗する原因となるため、anubhavaのパートIIを使用できません。ここでできることは、(i).htaccessリファラーが自分のインデックスページであったことを確認するチェックです。
RewriteCond %{HTTP_REFERRER} !=HTTP://www.domain.com/index.php [NC]
RewriteRule ^submit\.php$ - [F]
(ii)PHPのindex.phpフォームジェネレーター内に、タイムスタンプと検証のためのいくつかの非表示フィールドを含めます。検証は、たとえば、タイムスタンプのMD5の最初の10文字と内部秘密です。送信の処理時に、(i)タイムスタンプと検証が一致することを検証し、(ii)タイムスタンプが現在の時刻からたとえば15分以内であることを検証できます。
スパマーが有効なタイムスタンプと検証のペアを取得できる唯一の実用的な方法はフォームを解析することになるため、これによりスパミングを防止できますが、このスクレイプの有効期間は15分だけです。
以下のコマンドを.htaccessファイルに追加できます
Deny from all
ErrorDocument 403 "nothing is here"
不正アクセスの場合、「ここには何もありません」というメッセージが表示されます。
エラーコードによって特定のページにリダイレクトする場合は、次のようにコマンドを定義できます。
ErrorDocument 404 "/errors/404.html"にリダイレクトされ、/errors/404.htmlカスタムページが見つかりません画面が表示されます。