有没有办法阻止用户查看文件,但仍将其用作包含在 PHP 中的另一个文件中?
如果您使用
define('APP_RAN');
在包含它的文件中,然后放入
if(!defined('APP_RAN')){ die(); }
或者另一种选择
defined('APP_RAN') or die();
(更容易阅读)
在包含的文件中,如果直接访问它们就会消失。
不过,将所有包含的文件放在 DocumentRoot 之上可能会更好。
例如,如果您的索引页位于
/my/server/domain/public_html
您应该将包含的文件放入
/my/server/domain/
我的建议:
<?php
if (__FILE__ == $_SERVER['SCRIPT_FILENAME']) {
header($_SERVER['SERVER_PROTOCOL'] . ' 404 Not Found');
exit("<!DOCTYPE HTML PUBLIC \"-//IETF//DTD HTML 2.0//EN\">\r\n<html><head>\r\n<title>404 Not Found</title>\r\n</head><body>\r\n<h1>Not Found</h1>\r\n<p>The requested URL " . $_SERVER['SCRIPT_NAME'] . " was not found on this server.</p>\r\n</body></html>");
}
else {
// your code
}
?>
1.)它检查是否直接调用它,否则会抛出错误
2.)它输出一个 404 标准 apache 错误页面(请与您的原始 404 页面进行比较或简单地包含该页面),以通过模糊性来增加安全性
3.) else 部分避免了文件上传到实时环境时的部分执行(PHP 不等待“?>”)。如果您的包含文件仅包含一个函数/一个类,则不需要它。
if (defined('FLAG_FROM_A_PARENT'))
// Works in all scenarios but I personally dislike this
if (__FILE__ == get_included_files()[0])
// Doesn't work with PHP prepend unless calling [1] instead.
if (__FILE__ == $_SERVER['DOCUMENT_ROOT'] . $_SERVER['SCRIPT_FILENAME'])
// May break on Windows due to mixed DIRECTORY_SEPARATOR
if (basename(__FILE__) == basename($_SERVER['SCRIPT_FILENAME']))
// Doesn't work with files with the same basename but different paths
if (realpath(__FILE__) == realpath($_SERVER['DOCUMENT_ROOT'].$_SERVER['SCRIPT_NAME']))
// Seems to do the trick
不要在文件中使用任何全局代码,仅使用函数和方法。那么就不需要关心包含与直接使用。
只需将文件存储在网络根目录之外。
if (__FILE__ == $_SERVER['DOCUMENT_ROOT'].$_SERVER['PHP_SELF']){
die("Direct access forbidden");
}
无论在哪里它都可以工作。 (为@col-sharpnel 指出一个不完整但很好的解决方案干杯。)
有 get_included_files 函数。你可以像这样使用它:
if ( empty(get_included_files()) ) die("Direct access forbidden");
在 Apache 下,这很简单:在 .htaccess 中添加
<Files>
指令以防止从 Web 浏览器访问它。这不适用于 PHP includes
,隐藏多个文件以防止浏览器访问是一个很好的做法(尽管通常您会尝试将所有不可访问的文件放在一个目录中)。
<Files="myprivatefile.php">
deny from all
</Files>
在不同的网络服务器下,您可以将文件隐藏在文档根目录之外,但在某些情况下(例如,如果您的脚本以严格的方式
open_basedir
),它将不起作用。
检查有多少包含文件...
if(count(get_required_files()) < 2) { die(); }
或者最少应该有多少个而不是 2
我会选择Chacha102的解决方案。
此外,正如您的问题标题所示“如何检查”,您也可以执行此操作,而无需使用
定义变量// secret.php is the name of this file.
if($_SERVER["SCRIPT_FILENAME"]=='secret.php') die();
如果您想阻止它在未包含时显示,这里有一种更自动化的方法。
if (basename(__FILE__) == basename($_SERVER['PHP_SELF'])) header("HTTP/1.0 404 Not Found");
这样,如果您最终更改了文件名或其他内容,它仍然可以工作。
if($argv[0] == basename(__FILE__))
include_once('/path/to/file.php');
这个帖子中有很多很好的答案 - 这是一个尚未提及的答案。
您可以在扩展名中使用
i
来命名包含的 PHP 文件,例如someincludedfile.phpi
,然后配置 Apache,使其不提供 phpi
文件。瞧。
缺点:
优点:
就我个人而言,我宁愿将文件移动到文档根目录之外的目录中,但如果您有大型旧应用程序,则更改速度可能会更快。
链接:http://www.ducea.com/2006/07/21/apache-tips-tricks-deny-access-to-certain-file-types/
只是为了扩展带有
$_SERVER
变量的解决方案 - 下面是一个小的 .php 文件,注释中是我在 Ubuntu 上进行的 bash
测试的副本;重点是,这些变量可能会根据访问类型以及是否使用符号链接而发生很大变化(另请注意,在下面的代码中,我必须转义 echo 语句中的“?\>
”,否则语法颜色中断;如果尝试代码,请删除反斜杠):
<?php
function report($label, $value) {
printf ("%23s: %s\n", $label, $value);
}
report("DOCUMENT_ROOT.PHP_SELF", $_SERVER['DOCUMENT_ROOT'].$_SERVER['PHP_SELF'] );
report("SCRIPT_FILENAME", $_SERVER['SCRIPT_FILENAME'] );
report("__FILE__", __FILE__ );
report("PHP_SAPI", PHP_SAPI );
/*
# the test (bash):
home~$ mkdir /tmp/ptest
home~$ cd /tmp/ptest/
ptest$ ln -s /real/path/to/varcheck.php .
ptest$ echo '<? require_once "varcheck.php"; ?\>' > varcheckincl.php
# ... and in a separate terminal, run
# php (>5.4) cli server at same (/tmp/ptest) location:
ptest$ php-5.4.10 -S localhost:8000
# back to first terminal, the test - and output:
ptest$ php varcheck.php
DOCUMENT_ROOT.PHP_SELF: varcheck.php
SCRIPT_FILENAME: varcheck.php
__FILE__: /real/path/to/varcheck.php
PHP_SAPI: cli
ptest$ php -r 'require_once "varcheck.php";'
DOCUMENT_ROOT.PHP_SELF: -
SCRIPT_FILENAME:
__FILE__: /real/path/to/varcheck.php
PHP_SAPI: cli
ptest$ php varcheckincl.php
DOCUMENT_ROOT.PHP_SELF: varcheckincl.php
SCRIPT_FILENAME: varcheckincl.php
__FILE__: /real/path/to/varcheck.php
PHP_SAPI: cli
ptest$ wget http://localhost:8000/varcheck.php -q -O -
DOCUMENT_ROOT.PHP_SELF: /tmp/ptest/varcheck.php
SCRIPT_FILENAME: /tmp/ptest/varcheck.php
__FILE__: /real/path/to/varcheck.php
PHP_SAPI: cli-server
ptest$ wget http://localhost:8000/varcheckincl.php -q -O -
DOCUMENT_ROOT.PHP_SELF: /tmp/ptest/varcheckincl.php
SCRIPT_FILENAME: /tmp/ptest/varcheckincl.php
__FILE__: /real/path/to/varcheck.php
PHP_SAPI: cli-server
*/
?>
基于@HelpNeeder 的帖子。无论目录或上下文如何,都可以工作。
// if we called this file directly, then we are using stdout
if (get_included_files()[0] === __FILE__) {
/** @noinspection PhpUnhandledExceptionInspection */
print json_encode($deploymentMatrix, JSON_THROW_ON_ERROR);
} else {
return $deploymentMatrix;
}