我拒绝访问 public_html 文件夹中的某些文件
<Files ~ "\.inc$">
Order allow,deny
Deny from all
</Files>
放置在.htaccess文件中。
我知道最好将重要文件放在公共目录之外,但我想知道用这种方式拒绝访问的可靠性如何(如果可以测量可靠性)?有没有什么技巧可以获取这些文件?
答案1
.htaccess与任何其他 Apache 配置指令一样可靠,但需遵守以下注意事项:
正如 faker 上面指出的那样,如果您
.htaccess在主 apache 配置中禁用解析或保护,它们就会停止工作。如果您禁用特定
.htaccess指令(例如,从 AllowOverride 行中删除 AuthConfig),这些功能将停止工作。如果
.htaccess文件可由 Apache 用户(或任何以 CGI 身份运行的用户)写入,则足够有决心的黑客可以修改它们。
(这实际上是一个问题 - 一些内容管理系统要求他们能够修改文件.htaccess。它可以成为严肃的如果你有一个脑残的Apache配置AllowOverride All)
答案2
据我所知,它是可靠的。
当然,这可能会很快发生变化,每天都会发现新的错误。
然而,一个真正的问题是,如果你错误地更改了你的 apache 配置,并在.htaccess不知情/注意的情况下错误地禁用了文件解析。
那么你当然会暴露这些文件。
将它们放置在 Web 可访问文件夹之外可以避免这种可能性。