使用php或.htaccess限制ip访问,用htaccess加强网站的安全设置

最新推荐文章于 2021-06-10 02:36:57 发布
最新推荐文章于 2021-06-10 02:36:57 发布
阅读量406 收藏 1
点赞数
文章标签: 使用php或.htaccess限制ip访问

通过.htaccess设置可以:实现文件夹密码保护、重定向、自定义错误页面、改变你的文件扩展名、URL重写、封禁IP、禁止目录列表、禁止目录下运行某类型文件、修改默认目录文件等一系列功能.

用脚本编辑器, 比如notepad++, vim ,editplus等新建一个 (.htaccess) 文件, 注意这个文件在linux下默认是隐藏的, 你用ftp需要设置显示隐藏文件才可以看到的哦.

用.htaccess 自定义错误页的方法

系统默认的错误页面太丑啦, 自己设计一个吧, 可以是php等动态文件格式的哦.

通过在.htaccess文件里加入下面的文字将其变成自定义页面:

ErrorDocument 404 /err/404.php

ErrorDocument 503 /err/503.php

不管是404/403/400/503等其它错误都可以自己设计指定一个页面哦.

用.htaccess禁止显示目录列表

有些时候,你的目录里没有默认的index文件,当有人在浏览器地址栏访问该目录,目录下所有的文件都会显示出来,这会给你的网站留下安全隐患。

为避免这种情况(而不必创建一堆的新index文件),你可以在你的.htaccess加入下面的代码来阻止目录列表的显示:

Options -Indexes

用.htaccess阻止特定的IP地址

想允许某些特定IP的用户可以访问你的网站(例如:只允许使用特定ISP的用户进入某个目录),或者想封禁某些特定的IP地址(例如:将低级用户隔离于你的信息版面外)。

现在网上的大多数用户都使用动态IP地址,这个方法一般很少用。

使用以下命令封禁一个IP地址:

deny from 127.0.0.10

这里的127.0.0.10是被封禁的IP地址

如果封禁整个网段的地址, 可以这样写

deny from 210.10.56.

则将封禁210.10.56.0~210.10.56.255的所有IP地址。

用.htaccess只允许某个IP地址访问网站:

allow from 127.0.0.10

当然也可以想上面一样运行一个ip段访问.

用.htaccess阻止所有人访问目录

deny from all

这个命令并不影响脚本程序使用这个目录下的文档。

用.htaccess 替换默认的首页index文件

如果想更改默认的首页文件(index.htm等)。使用.htaccess可以指定任何的页面作为默认的首页!

下面的代码设置 index.php / index.php3 / messagebrd.pl / index.html / index.htm同时指定了这些页面为默认的首页, 从左到右, 如果存在就访问.

DirectoryIndex index.php index.php3 messagebrd.pl index.html index.htm

利用.htaccess重定向

重定向文件的例子:

Redirect /location/from/root/file.html /new/file/2.html

haccess重定向整个网站的目录

假如你的网站上有一个名为 /olddirectory 的目录,并且你已经 新建了一个 /newdirectory 文档,你可以将旧目录下所有的文件做一次重定向而不必一一声明:

Redirect /olddirectory /newdirectory

利用.htaccess 保护密码

.htaccess具有完美的安全性(即访问者必须知晓密码才可以访问目录,并且绝无“后门”可走)。

1. 密码保护的.htaccess文件

利用.htaccess将一个目录加上密码保护分两个步骤。

在你的.htaccess文档里加上几行代码,再将.htaccess文档放进你要保护的目录下:

AuthName "Section Name"

AuthType Basic

AuthUserFile /full/path/to/.htpasswd

Require valid-user

根据你的网站情况修改上述内容,如用被保护部分的名字“Section Name”。/full/parth/to/.htpasswd则应该替换为指向.htpasswd文件(后面详述该文档)的完整服务器路径。如果你不知道你网站空间的完整路径,请询问一下你的系统管理员。

2. 密码保护的.htpasswd文件

目录的密码保护比.htaccess的其他功能要麻烦些,因为你必须同时创建一个包含用户名和密码的文档,用于访问你的网站,相关信息(默认)位于一个名为.htpasswd的文档里。像.htaccess一样,.htpasswd也是一个没有文件名且具有8位扩展名的文档,可以放置在你网站里的任何地方(此时密码应加密),但建议你将其保存在网站Web根目录外,这样通过网络就无法访问到它了。

3. 输入用户名和密码

创建好.htpasswd文档后(可以通过文字编辑器创建),下一步是输入用于访问网站的用户名和密码,应为:

username:password

“password”的位置应该是加密过的密码。你可以通过几种方法来得到加密过的密码:一是使用一个网上提供的permade脚本或自己写一个;另一个很不错的username/password加密服务是通过KxS网站,这里允许你输入用户名及密码,然后生成正确格式的密码。

对于多用户,你只需要在.htpasswd文档中新增同样格式的一行即可。另外还有一些免费的脚本程序可以方便地管理.htpasswd文档,可以自动新增/移除用户等。

4. 访问网站

当你试图访问被.htaccess密码保护的目录时,你的浏览器会弹出标准的username/password对话窗口。如果你不喜欢这种方式,有些脚本程序可以允许你在页面内嵌入username/password输入框来进行认证,你也可以在浏览器的URL框内以以下方式输入用户名和密码(未加密的):

http://username:password@www.website.com/directory/

更多htaccess的设置及相关问题可以访问: http://s.lao8.org/cse/search?s=10976145417263288973&q=htaccess&source=lao8.org

weixin_39612057
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用.htaccess文件对访问进行限制
weixin_34408717的博客
03-26 771
允许从特定的域名或IP地址发来的浏览请求 1. 设置文件的编辑;可以使用一般的文本编辑器制作如下的设置文件。文件可暂时命名为htaccess.txt。 Order deny,allow deny from all allow from remote.host.com allow from 192.168.0 在“allow from ~”之后写入想要允许IP...
php禁止指定域名访问,利用.Htaccess阻止IP恶意攻击网站,禁止指定域名访问,禁止机器爬虫,禁止盗链...
weixin_30789297的博客
03-23 696
前几天发现我的网站被一些IP发起了大量恶意的、有针对性的扫描,企图通过暴力探测方式获取网站中一些内部配置文件和信息。我是用.Htaccess来化解攻击的,就是在.Htaccess文件里添加了下面这段配置:order allow,denydeny from 180.97.106.allow from all.Htaccess对与一个网站来说是一种功能非常强大的配置文件。对它的功能了解的越多,你就越容...
.htaccess根据IP地址限制访问
weixin_33849942的博客
04-21 558
屏蔽IP地址 屏蔽IP地址有时是非常必要的,比如对于一个外贸公司网站,来自国内的访问是不会带来任何经济效益的,而且还占用服务器资源,造成访问延迟等问题。 如果要屏蔽某一特定IP可以使用: order allow,deny deny from 192.168.0.1 allow from all 如果想要屏蔽多个IP地址,只需多加几个deny from 即可 order allo...
9个实用的.htaccess安全设置
章郎虫的专栏
07-07 454
1. 通过.htaccess放盗链 痛恨那些偷盗链接你的web服务器上的图片资源而耗尽了你的带宽的行为吗?试试这个,你可以防止这种事情的发生。 RewriteBase / RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http://(www.)?aqee.net/.*$ [NC] RewriteR...
.htaccess设置相关规则进行安全防护
帅气的可乐
08-02 798
防黑客,如果你想提高网站安全等级,你可以加上下面的几行代码,这样可以防止一些常见恶意URL匹配的黑客攻击技术。 RewriteEngine On  RewriteEngine On RewriteCond %{QUERY_STRING} proc/self/environ [OR]  # 阻止脚本企图通过URL修改mosConfig值  RewriteCond %{QUERY_STRING}...
只接受来自特定页的访问php,通过.htaccess设置你的网站允许来自中国IP访问...
weixin_32252271的博客
03-23 1166
如果你希望自己的网站只能中国人访问,那么这绝对是一个很好的方法,这个.htaccess的规则限定了只有中国IP才能打开你的网站,非常方便的限制了非中国IP访问deny from allOptions +FollowSymLinksRewriteEngine OnRewriteBase /#上面的PIC是目录名,可以自己定义RewriteCond %{REQUEST_FILENAME} -f [O...
利用.htaccess来禁止某IP访问
做最有意义的事情,成就最有价值的梦想,展现最真实的自己 . 超越自己,改变世界 .
05-24 420
今天我回头看了一下网站访问数据,吓我一跳,有很多相同的IP访问同一个站点,访问的方式是目标站点传参非法站点。每次就30多的访问,所以我只能禁止IP了,虽然这个方法不是怎么管用... 分享一个最简单的禁止某IP的方法 在站点根目录创建.htaccess文件 文件内编辑: Order Allow,Deny Allow from all deny from xxx.xxx.x.x 通过上面这种方法可以禁止某一个IP访问网站,如果是多个IP的话,可通过空格隔开 上面的xxx.xxx.x.x是访问
CentOS服务器利用.htaccess批量封IP方法介绍
ctrigger的专栏
08-26 360
今年,我们服务器经常遭受大量僵尸网络攻击,而且流量特别大,批量封IP是必须的。下面我就来说说说利用.htaccess批量封IP方法。 我们的服务器是CentOS系统,利用.htaccess文件封IP方法很简单,方法如下: Order Allow,Deny Allow from all Deny from 14.116.144.105 14.116.144.70 14.116.144.121 ...
教你如何在CI框架中使用 .htaccess 隐藏url中index.php
12-19
现在,当你访问网站时,URL中将不再显示`index.php`,如`http://localhost/blog/logs/this_is_a_test_entry`。 如果在使用`PATH_INFO`模式时遇到问题,即`$config['uri_protocol'] = 'PATH_INFO';`,你需要修改`....
Apache2.4.x版wampserver本地php服务器如何让外网访问及启用.htaccess
09-10
如果你希望限制访问允许特定IPIP范围,可以使用`Require`指令,如: ```apacheconf Require all granted Require ip 192.168.1.0/24 ``` 这将只允许192.168.1.0到192.168.1.255的IP地址访问。 `.htaccess`...
Apache服务器中.htaccess文件的实用配置示例集锦
09-10
Apache服务器中的`.htaccess`文件是一个非常重要的工具,它允许网站管理员无需直接修改服务器的主配置文件即可控制和定制特定目录的行为。`.htaccess`文件主要用于实现一系列HTTP服务器的指令,如URL重写、访问控制...
.htaccess文件使用教程总结
09-14
4. **访问控制**:使用`Order`和`Deny/Allow`指令可以限制允许特定IP地址或所有用户访问特定目录。例如,你可以阻止所有人访问`.htaccess`文件,或者阻止所有用户查看特定文件类型。 5. **重定向**:`Redirect`...
.htaccess使用方法总结
09-11
5. **IP 地址限制**:使用 `Order`, `Allow`, 和 `Deny` 指令,可以允许或禁止特定 IP 地址或 IP 范围的访问。 6. **禁止目录列表**:通过 `Options -Indexes`,可以防止目录内容被直接列出,增加安全性。 7. **...
.htaccess限制IP访问PHP限制IP访问
Rock的专栏
06-15 3961
.htaccess限制IP访问PHP限制IP访问,可以限制IP,也可以现在多个IP段。 最近遇到了大量恶意IP访问网站的情况,最终在网站根目录下的.htaccess设置了下,实现了对网站访问IP限制。 实现方法如下: 在网站的根目录下新建.htaccess文件,然后下文件里面完整写入以下代码即可。 RewriteEngine On RewriteCond
html+禁止ip访问,用.htaccess禁止某IPIP访问的方法
weixin_36170708的博客
06-10 830
好好的做个网站,有时总会遇到各种的恶意对待:恶意扫描,采集,镜像,甚至被CC攻击,屏蔽禁止这些恶意IP就是我们其中一种应对方法。很多网站都是使用虚拟主机,有些虚拟主机有提供屏蔽IP黑名单的功能,有些却没有这样的功能,像我用的西部数码就不提供这种IP黑名单的功能,那有没有其他方法实现禁止某IPIP访问。答案是有的,如果你的网站所在服务器是使用Linux系统,那么可以利用.htaccess来屏蔽某...
使用php.htaccess限制ip访问,htaccess访问控制篇:限制IP访问、防盗链
weixin_42522953的博客
03-10 144
基于referer来限制网站访问RewriteEngine onRewriteCond %{HTTP_REFERER} spamteam.com [NC,OR]RewriteCond %{HTTP_REFERER} trollteam.com [NC]RewriteRule .* - [F]防止目录浏览一般情况下目录浏览是关闭的,如果目录浏览被默认打开,可以使用一下语句来禁止目录浏览。Option...
apache .htaccess 禁止访问某目录方法
热门推荐
大爱无疆的博客
04-08 1万+
最简单方法,在所要禁止的目录中的.htaccess文件中添加一下两行代码。 order allow,deny deny from all (可以把all换成某一ip地址) ---- 【.htaccess简介】 .htaccess文件,又叫分布式配置文件,它提供了针对每个目录改变配置的方法,可以在一个特定的文档目录中放置一个包含指令的文件,以达到控制此目录及其子目录的目
Apache的Order Allow,Deny 详解
weixin_33841503的博客
09-22 742
Allow和Deny可以用于apache的conf文件或者.htaccess文件中(配合Directory, Location, Files等),用来控制目录和文件的访问授权。 所以,最常用的是: Order Deny,Allow Allow from All 注意“Deny,Allow”中间只有一个逗号,也只能有一个逗号,有空格都会出错...
中科曙光ParaStor300s分布式存储整机更换操作手册.docx
最新发布
07-12
中科曙光ParaStor300s分布式存储整机更换操作手册.docx
htaccess文件上传漏洞复现
09-21
### 回答1: 请注意,.htaccess文件本身并不会造成上传漏洞,它是一种用于配置Apache服务器的文件。我猜测您的问题是如何利用配置错误或者漏洞上传.htaccess文件来实现服务器攻击的。 一些常见的.htaccess文件上传漏洞如下: 1. 目录遍历漏洞: 如果一个服务器上的网站没有正确限制文件上传的目录,攻击者可以上传包含攻击代码的.htaccess文件到网站的某个目录,然后通过访问该目录下的文件来执行攻击代码。 2. 文件名绕过漏洞: 有些服务器在处理上传的文件名时可能会忽略.htaccess后缀,因此攻击者可以上传包含攻击代码的.htaccess文件并将其命名为其他文件类型的后缀名,例如.php、.jpg、.gif等,然后通过访问该文件来执行攻击代码。 3. MIME类型绕过漏洞: 攻击者可以上传一个包含攻击代码的.htaccess文件,并在其中设置MIME类型为可执行文件,这样当服务器处理该文件时就会将其作为可执行文件来执行其中的代码。 请注意,这些漏洞都是由于服务器配置错误或者漏洞造成的,因此最好的解决方法是及时更新服务器软件并开启安全防护措施,例如限制上传文件的类型、大小、目录等。同时,还应该定期检查服务器配置和日志来发现潜在的安全问题。 ### 回答2: .htaccess文件上传漏洞是一种常见的Web漏洞之一,攻击者可以通过该漏洞上传恶意的.htaccess文件来对受影响的网站进行进一步的攻击。 首先,攻击者需要找到使用.htaccess文件的目标网站,因为只有使用.htaccess文件的网站才会存在这个漏洞。然后,攻击者需要找到可以上传文件的功能或接口,这可能是一个后台管理系统、论坛或其他用户交互的页面。 接下来,攻击者需要准备一个恶意的.htaccess文件。这个文件可以包含任意的指令,用于控制网站访问权限、重定向链接、阻止特定的IP地址或用户等。例如,攻击者可以将.htaccess文件设置为重定向用户流量到恶意网站或者隐藏敏感文件等。 然后,攻击者通过上传功能或接口将准备好的.htaccess文件上传到目标网站的服务器上。在上传文件时,攻击者可能会利用一些漏洞或者绕过文件上传过滤的技巧,以确保文件被成功上传。 最后,攻击者需要验证上传的.htaccess文件是否生效。他们可以通过访问目标网站来检查是否按照设定的指令进行了操作。如果.htaccess文件成功生效,那么攻击者将获得对目标网站重要功能的控制,可能会导致进一步的攻击活动。 为了防止.htaccess文件上传漏洞的利用,网站管理员可以采取以下措施: 1. 检查服务器的配置,确保禁止上传.htaccess文件或限制使用; 2. 对文件上传功能进行严格的输入验证和过滤,过滤掉恶意的文件类型和内容; 3. 及时更新软件和补丁,确保服务器和相关软件的安全; 4. 启用防火墙和入侵检测系统,以便及时发现和阻止任何恶意活动; 5. 加强对服务器和网站的监控和日志记录,及时发现异常行为。 总之,.htaccess文件上传漏洞是一种严重的Web安全威胁,攻击者可以利用该漏洞来控制目标网站。为了保护网站安全网站管理员需要及时修复漏洞,并采取适当的预防措施来阻止该漏洞的利用。 ### 回答3: .htaccess文件上传漏洞是一种安全漏洞,它可能允许攻击者将恶意文件上传到服务器上,并在服务器上执行任意代码。 要复现.htaccess文件上传漏洞,可以按照以下步骤进行: 1. 首先,需要找到一个存在.htaccess文件上传漏洞的目标网站。这可以通过向目标网站发送恶意文件上传请求或者查找已知的漏洞报告来实现。 2. 确定目标网站的文件上传功能是否存在安全漏洞。这可以通过上传不同类型的文件来测试是否可以绕过文件类型限制。 3. 如果文件上传功能存在漏洞,则可以使用.htaccess文件进行攻击。创建一个包含恶意代码的.htaccess文件,例如包含PHP代码的.htaccess文件。 4. 通过网站的文件上传功能上传制作好的.htaccess文件。如果上传成功,那么.htaccess文件将被保存在服务器上,并且服务器将执行其中的恶意代码。 5. 最后,攻击者可以利用已经成功上传的.htaccess文件执行各种恶意操作,例如在服务器上创建后门、执行任意命令、获取敏感数据等。 为了防止.htaccess文件上传漏洞,应采取以下预防措施: 1. 对文件上传功能进行严格的输入验证和过滤,确保只能上传安全的文件类型。 2. 对上传的文件进行严格的文件类型检查,避免可以执行恶意代码的文件类型被上传。 3. 设置最小化的文件上传权限,仅允许必要的文件上传操作。 4. 定期更新网站的软件和插件,以保持与最新的安全修补程序同步。 5. 监控网站的日志文件,及时发现异常文件上传行为。 总之,.htaccess文件上传漏洞是一种严重的安全威胁,为了保护网站和用户的安全,应该进行安全验证和限制,以防止攻击者利用该漏洞进行恶意操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值