阻止通过http直接访问文件,但允许php脚本访问

问题描述 投票:69回答:7

我正在将我的文件(pdf,doc,flv等)加载到缓冲区中,并使用脚本将其提供给我的用户。我需要我的脚本才能访问该文件但不允许直接访问它。什么是实现这一目标的最佳方式?我应该使用我的权限做某事还是用.htaccess锁定目录?

php apache permissions
7个回答
91
投票

最安全的方法是将您想要保存的文件放在Web根目录之外,就像Damien建议的那样。这是因为Web服务器遵循本地文件系统特权,而不是它自己的特权。

但是,有很多托管公司只允许您访问Web根目录。要仍然阻止对文件的HTTP请求,请使用阻止所有通信的.htaccess文件将它们放入目录中。例如,

Order deny,allow
Deny from all

您的Web服务器以及服务器端语言仍然可以读取它们,因为目录的本地权限允许Web服务器读取和执行文件。

干杯。


33
投票

这就是我阻止从URL直接访问我的ini文件的方法。将以下代码粘贴到root上的.htaccess文件中。 (无需创建额外的文件夹)

<Files ~ "\.ini$">
  Order allow,deny
  Deny from all
</Files>

我的settings.ini文件位于根目录下,无需此代码即可访问www.mydomain.com/settings.ini


2
投票

这些文件与PHP脚本在同一台服务器上吗?如果是这样,只需将文件保留在Web根目录之外,并确保您的PHP脚本具有读取权限,无论它们存储在何处。


2
投票

在httpd.conf中阻止浏览器和wget访问包含文件,特别是说db.inc或config.inc。请注意,您不能在指令中链接文件类型,而是创建多个文件指令。

<Files ~ "\.inc$">
Order allow,deny
Deny from all
</Files>

在重新启动apache之前测试你的配置

service httpd configtest

然后(优雅重启)

service httpd graceful

1
投票

如果您有权访问httpd.conf文件(在ubuntu中它位于/ etc / apache2目录中),您应该添加与特定目录中的.htaccess文件相同的行。那是(例如):

ServerName YOURSERVERNAMEHERE
<Directory /var/www/>
AllowOverride None
order deny,allow
Options -Indexes FollowSymLinks
</Directory>

对要控制信息的每个目录执行此操作,并且您将在一个位置具有一个文件来管理所有访问。上面的例子,我为根目录/ var / www做了。

外包托管可能无法使用此选项,尤其是共享托管。但它是一个比添加许多.htaccess文件更好的选择。


0
投票

要阻止来自Web访问的.ini文件,请将以下内容放入apache2.conf中

<Files ~ "\.ini$">
Order allow,deny
Deny from all
</Files>

0
投票

如何基于自定义模块的.htaccess脚本(就像它在CodeIgniter中使用的那样)?我试过,它在CodeIgniter应用程序中运行良好。有没有想过在其他应用程序上使用它?

<IfModule authz_core_module>
    Require all denied
</IfModule>
<IfModule !authz_core_module>
    Deny from all
</IfModule>
© www.soinside.com 2019 - 2024. All rights reserved.