如评论中所述,最安全的方法是将内容或目录放在Web服务器的公共文档根目录之外.这将确保即使删除.htaccess文件或服务器不允许.htaccess覆盖也不会提供内容.
要确定您的文档根目录,您只需回显PHP $_SERVER [‘DOCUMENT_ROOT’]变量.因此,如果您的根是/ var / www / html,您可以创建一个文件夹/ var / www / protected_folder,Apache(或其他Web服务器)将永远不会提供它(除非更改http.conf文件以修改文档根文件夹).
如果文件夹必须位于文档根目录中,则使用.htaccess文件进行DENY或重定向是一个不错的选择.
正如TerryE所提到的,您还可以使用操作系统级文件权限拒绝Apache用户访问该文件夹(将其他用户设置为所有者,然后将该文件夹的权限设置为700).如果他们试图访问该文件夹,他们将获得您可能不想显示的403 Forbidden Error(尽管您可以在http.conf或htaccess中设置自定义403错误处理程序).根据具体要求,您可能需要这种方法,因为如果您愿意,它还可以阻止脚本访问(例如PHP include()等),因为默认情况下PHP在webserver用户下运行.这种方法的主要缺点是在迁移过程中通常不会保留文件权限(如果它们没有正确完成),并且在使用递归标记更改父文件夹权限时有时会无意中重置文件权限(而不会有人不经意地将文件夹移动到文档根目录中).
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
