Использование htaccess для ограничения доступа к каталогу

Question

В настоящее время я разрабатываю сайт с использованием PHP и mySQL для обработки операций с базой данных. Тем не менее, файлы ajax, используемые для извлечения данных из базы данных, легко доступны на сервере, если пользователь знает, как их найти.

Я хотел бы знать, могу ли я использовать htaccess для ограничения доступа к папке, где я бы размещал php-файлы, и как это сделать, и извлекать их с использованием URL-адреса данных в html-файле.

Answer 1

Создать сайт/FOLDERNAME/файл .htaccess и добавьте следующую строку:

Deny from all 

Answer 2

Ну, PHP-файлы, которые обрабатывают доступ дб, основанный на запросе (AJAX или любой другой) должен быть в состоянии назвать, правильно?

Это означает, что почти нет смысла «защищать» их. Каждый браузер в Интернете может их вызвать, поэтому вам нужен другой подход. (Также: каждый может видеть URL-адрес вашего HXR с минимальными усилиями, читая исходный javascript на вашей странице)

Если вы не хотите доступа к функциям, убедитесь, что пользователь должен сначала войти в систему и использовать $ _SESSION, чтобы проверить, может ли пользователь использовать эту функциональность.

PS: Я ожидаю, что ваши php-файлы будут читабельны, но не будут доступны для записи, apache. Вы должны быть единственным, кто может их написать.