簡體 English 中英

拒絕外部訪問php文件

[英]Deny external access to php files

原文 2016-10-22 21:14:41 6 1 php/ ajax/ .htaccess

我的平台使用AJAX與內部結構（API和其他結構）進行通信。 所有AJAX請求都發送到一個名為globalAPI.php （POST方法）的文件中，在那里他與其他php文件進行通信（這樣做是為了隱藏內部結構）。

假設用戶發現了它的工作原理，並從他的服務器開始發出請求。 我們可以得出結論，即使沒有登錄到我的平台，它也會產生結果。

那么如何保護此文件以供外部訪問？

我相信我可以將.htaccess文件與Allow from 127.0.0.1一起使用，但是如果用戶將其IP更改為127.0.0.1怎么辦，他將可以訪問此文件？

還有另一種方法來保護此文件？

1 個解決方案

如果要限制對它們的訪問，則應在所有API調用中實現身份驗證系統。

基本上，您不能阻止用戶從Devtools中打開“網絡”選項卡並查看您的客戶端對服務器API的請求：高級用戶可以看到每個請求發送的參數，並使用相同或不同的參數重新發送請求。

如果可以通過AJAX訪問此文件，則無論如何客戶端都可以訪問該文件：您要做的是確保用戶不能訪問超出AJAX調用權限的內容。 為此，請保護您的API，例如，為每個調用請求一個用戶令牌：服務器將知道哪個用戶訪問該API，您可以從那時開始處理授權。

htaccess不會拒絕PHP對文件的訪問

[英]htaccess doesn't deny PHP access to files

.htaccess拒絕僅訪問PHP文件

[英].htaccess deny access to just PHP files

拒絕訪問php文件，但允許子目錄中的其他一些php文件

[英]Deny access to php files but allow some other php files in subdirectory

拒絕直接訪問除index.php之外的所有.php文件

[英]Deny direct access to all .php files except index.php

使用htaccess將PHP文件名重寫為cgi，並拒絕訪問php文件

[英]Rewrite PHP file names to cgi with htaccess and deny access to php files

除了服務器本身之外，拒絕訪問.php文件

[英]Deny access to .php files apart from the server itself

拒絕無效用戶使用php訪問根目錄中的文件

[英]Deny access to files in root directory from invalid users with php

使用.htaccess拒絕訪問目錄中的所有PHP文件

[英]Deny access to all PHP files in a directory using .htaccess

拒絕從瀏覽器訪問文件並允許PHP應用程序

[英]Deny access to files from browser and allow from PHP application

如何允許使用PHP下載文件，但拒絕直接訪問目錄列表

[英]How to allow downloading files with PHP, but deny direct access to directory listings

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 htaccess不會拒絕PHP對文件的訪問 .htaccess拒絕僅訪問PHP文件拒絕訪問php文件，但允許子目錄中的其他一些php文件拒絕直接訪問除index.php之外的所有.php文件使用htaccess將PHP文件名重寫為cgi，並拒絕訪問php文件除了服務器本身之外，拒絕訪問.php文件拒絕無效用戶使用php訪問根目錄中的文件使用.htaccess拒絕訪問目錄中的所有PHP文件拒絕從瀏覽器訪問文件並允許PHP應用程序如何允許使用PHP下載文件，但拒絕直接訪問目錄列表

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM