我拒绝访问与public_html文件夹中的某些文件
<Files ~ "\.inc$"> Order allow,deny Deny from all </Files> 放置在.htaccess文件中。
我知道最好把重要文件放在公共目录之外,但是我想知道如何拒绝访问(如果可以测量可靠性的话)有多可靠呢? 是否有任何技巧来获得这些文件?
.htaccess与其他Apacheconfiguration指令一样可靠,但要注意以下几点:
正如上面faker指出的那样,如果你在主apacheconfiguration中禁用.htaccessparsing或保护,他们将停止工作。
如果您禁用特定的.htaccess指令(例如,从AllowOverride行删除AuthConfig),那些function将停止工作。
如果.htaccess文件可由Apache用户(或CGI运行的任何用户)写入,则可以由充分确定的黑客进行修改。
(这实际上是一件事情 – 有些内容pipe理系统要求他们能够修改.htaccess文件,如果你的Apacheconfiguration和AllowOverride All一起被大脑损坏了,那么这可能是一件严重的事情)
据我所知,这是可靠的。
这当然可以快速改变,每天都会发现新的错误。
然而,一个真正的问题是,如果你对你的apacheconfiguration进行了错误的更改,并且不知道/不知道它,就会错误地禁止parsing.htaccess文件。
那么当然你正在公开这些文件。
将它们放在网页可到达的文件夹之外时,可以避免这种可能性。