refuser l'accès direct à un dossier et à un fichier par htaccess

Question

Voici le scénario :

• Hay un index.php dans le dossier racine
• certains fichiers sont inclus dans index.php qui se trouvent dans le includes dossier.
• 1 autre fichier ( submit.php ) se trouve dans le dossier racine de l'action de soumission du formulaire.

Je veux restreindre l'accès direct des utilisateurs aux fichiers de la base de données. includes par htaccess. également pour submit.php . Mais inclure travaillera pour index.php fichier. Par exemple, si l'utilisateur tape www.domain.com/includes/somepage.php il le limitera (il peut être redirigé vers une page d'erreur).

Answer 1

Je voudrais juste déplacer le includes hors de l'arborescence web, mais si vous voulez bloquer l'accès direct à l'ensemble du dossier includes vous pouvez mettre un .htaccess dans ce dossier qui contient juste :

deny from all

De cette façon, vous ne pouvez ouvrir aucun fichier de ce dossier, mais vous pouvez les inclure dans php sans aucun problème.

Answer 2

C'est du pur mod_rewrite solution basée sur la technologie :

RewriteRule ^(includes/|submit\.php) - [F,L,NC]

Cela montrera l'erreur interdite à utiliser si l'URI contient soit /includes/ ou /submit.php

Answer 3

Si je comprends bien, vous voulez simplement interdire l'accès au dossier "includes" ?

Un fichier .htaccess avec une directive 'DENY FROM ALL' placée dans le dossier includes ferait l'affaire.

Answer 4

Votre question se divise en deux parties, les solutions de jeroen et d'anubhava fonctionnent pour la partie I -- refuser l'accès à /includes. Celle d'anubhava fonctionne également pour la partie II. Je préfère la dernière solution parce que j'utilise un DOCROOT/.htaccess de toute façon et cela permet de garder tous ces contrôles dans un seul fichier.

Cependant, ce dont je voulais discuter, c'est du concept de "refus d'accès à l'information". submit.php ". Si vous ne voulez pas utiliser submit.php alors pourquoi l'avoir dans DOCROOT ? Je soupçonne que la réponse est que vous l'utilisez comme cible d'action dans certains formulaires et que vous voulez qu'il soit activé uniquement lorsque le formulaire est soumis et non directement, par exemple par un spambot.

Si c'est le cas, vous ne pouvez pas utiliser la partie II d'Anubhava, car votre formulaire échouera. Ce que vous pouvez faire ici, c'est (i) avec l'option .htaccess pour s'assurer que le référent était votre propre page d'index :

RewriteCond %{HTTP_REFERRER} !=HTTP://www.domain.com/index.php   [NC]
RewriteRule ^submit\.php$    -                                   [F]

Et (ii) dans votre générateur de formulaire PHP index.php, incluez des champs cachés pour un horodatage et une validation. La validation pourrait être, par exemple, les 10 premiers caractères d'un MD5 de l'horodatage et un secret interne. Lors du traitement de l'envoi, vous pouvez alors (i) vérifier que l'horodatage et la validation correspondent, et (ii) que l'horodatage se situe dans une fourchette de 15 minutes par rapport à l'heure actuelle.

Cela permet d'éviter le spamming, car le seul moyen pratique pour un spammer d'obtenir un couple valide d'horodatage et de validation serait d'analyser un formulaire, mais ce scrape n'aurait qu'une durée de vie de 15 minutes.

Answer 5

En fonction des éventuelles autres options définies à un niveau supérieur, vous devrez peut-être ajouter les éléments suivants dans votre fichier .htaccess situé dans votre répertoire includes :

Satisfy all
Order deny,allow
Deny from all

J'ai rencontré ce problème lorsque le répertoire supérieur a défini l'authentification de base en incluant la ligne :

Satisfy any

Cela empêchait mon refus de prendre effet car les utilisateurs étaient authentifiés.