Защита моего php включает в себя от злонамеренных пользователей

Question

Я читал о том, как защитить мои .php включения.Основным предложенным вариантом является размещение файлов .php, которые я хочу защитить, вне папки, которая обслуживает файлы .php, в моем случае это / public_html.

Итак, я решил создать папку с именем / includes иЯ получаю доступ к своим .php-включениям из / public_html .php-файлов, таких как ../include/file.php.Это хорошо работает, но я немного параноик.

Могу ли я пойти дальше и добавить .htaccess со следующей строкой / include:

Deny from all

Я знаю, что пользователь не долженчтобы получить доступ к / включает в моем случае.Тем не менее, может ли этот файл .htaccess в / include повредить мне в любом случае?

Спасибо.

Answer 1

Действительно хороший способ - это чтобы фронт-контроллер (FC) управлял всеми вашими запросами ресурсов и htaccess для маршрутизации всего на FC.

Затем, если кто-то пытается получить доступ к чему-то на вашем сайте, это 'будет направлен через ФК.Он, в свою очередь, вызовет маршрутизатор, который должен разрешать загрузку файлов таким образом, которые находятся в определенном каталоге.

Поэтому попытка перейти к (например) includes/someScript.php не будет работать, потому что FC не будет направлять веб-запрос вкаталог включает в себя.

Это не повлияет на ваши запросы в файлах PHP, так как этот запрос не будет проходить через FC.