我有一个 php 文件,我将专门用作包含。因此,当通过键入 URL 而不是被包含来直接访问它时,我想抛出一个错误而不是执行它。
基本上我需要在php文件中做如下检查:
if ( $REQUEST_URL == $URL_OF_CURRENT_PAGE ) die ("Direct access not premitted");
有没有简单的方法可以做到这一点?
【问题讨论】:
标签: php include include-guards
将此添加到您只想包含的页面中
<?php
if(!defined('MyConst')) {
die('Direct access not permitted');
}
?>
然后在包含它的页面上添加
<?php
define('MyConst', TRUE);
?>
【讨论】:
somefile.php 并在其中添加了您的定义,那仍然不允许他们直接访问包含文件。它会让他们“包含”您的库文件,但如果他们足够远可以在您的服务器上创建文件并知道您的定义/包含脚本,那么您可能会遇到其他问题,这些问题可能会首先否定使用您的定义编写自己的文件.
defined('MyConst') || die('Direct access not permitted');
对于通用的“在您可能完全控制或可能不完全控制的 Apache 服务器上运行的 PHP 应用程序”情况,最简单的方法是将您的包含放在一个目录中,并在您的 .htaccess 文件中拒绝对该目录的访问。为了省去人们在谷歌上搜索的麻烦,如果您使用的是 Apache,请将其放在您不希望访问的目录中名为“.htaccess”的文件中:
Deny from all
如果您实际上可以完全控制服务器(这些天甚至对于小型应用程序比我第一次写这个答案时更常见),最好的方法是将要保护的文件粘贴到您的 Web 服务器的目录之外是从服务。因此,如果您的应用位于 /srv/YourApp/ 中,请将服务器设置为提供来自 /srv/YourApp/app/ 的文件并将包含内容放入 /srv/YourApp/includes 中,因此实际上没有任何 URL 可以访问它们。
【讨论】:
<Files ~ "\.inc$"> Order Allow,Deny Deny from All </Files>
Deny from all 它甚至不能在包含中工作,它会 404。
我有一个文件,当它被包含和直接访问时,我需要采取不同的行动(主要是 print() 与 return())这是一些修改后的代码:
if(count(get_included_files()) ==1) exit("Direct access not permitted.");
被访问的文件始终是包含文件,因此 == 1。
【讨论】:
防止直接访问文件的最佳方法是将它们放在网络服务器文档根目录之外(通常是上一层)。您仍然可以包含它们,但不可能有人通过 http 请求访问它们。
我通常一路走下去,并将我的所有 PHP 文件放在文档根目录之外,除了 bootstrap file - 文档根目录中的一个单独的 index.php,它开始路由整个网站/应用程序。
【讨论】:
if( count(get_included_files()) == ((version_compare(PHP_VERSION, '5.0.0', '>='))?1:0) )
{
exit('Restricted Access');
}
逻辑:如果未满足最小包含计数,PHP 将退出。请注意,在 PHP5 之前,基本页面不被视为包含。
// In the base page (directly accessed):
define('_DEFVAR', 1);
// In the include files (where direct access isn't permitted):
defined('_DEFVAR') or exit('Restricted Access');
逻辑:如果未定义常量,则执行不会从基本页面开始,PHP 将停止执行。
注意,为了跨升级和未来更改的可移植性,使这种身份验证方法模块化将显着减少编码开销,因为更改不需要硬编码到每个文件。
// Put the code in a separate file instead, say 'checkdefined.php':
defined('_DEFVAR') or exit('Restricted Access');
// Replace the same code in the include files with:
require_once('checkdefined.php');
这样可以将额外的代码添加到checkdefined.php用于记录和分析目的,以及生成适当的响应。
功劳归于功劳:可移植性的绝妙想法来自this answer。
// Call the include from the base page(directly accessed):
$includeData = file_get_contents("http://127.0.0.1/component.php?auth=token");
// In the include files (where direct access isn't permitted):
$src = $_SERVER['REMOTE_ADDR']; // Get the source address
$auth = authoriseIP($src); // Authorisation algorithm
if( !$auth ) exit('Restricted Access');
这种方法的缺点是执行隔离,除非内部请求提供了会话令牌。在单服务器配置的情况下通过环回地址进行验证,或者在多服务器或负载平衡服务器基础架构的情况下通过地址白名单进行验证。
与上一种方法类似,可以使用 GET 或 POST 将授权令牌传递给包含文件:
if($key!="serv97602"){header("Location: ".$dart);exit();}
一种非常混乱的方法,但如果以正确的方式使用,可能同时也是最安全和最通用的方法。
大多数服务器允许您为单个文件或目录分配权限。您可以将所有包含在此类受限目录中,并将服务器配置为拒绝它们。
例如在 APACHE 中,配置存储在 .htaccess 文件中。教程here.
注意但是,我不推荐特定于服务器的配置,因为它们不利于跨不同 Web 服务器的可移植性。在拒绝算法复杂或拒绝目录列表相当大的内容管理系统等情况下,它可能只会使重新配置会话变得相当可怕。最后最好在代码中处理。
由于服务器环境中的访问限制,最不受欢迎,但如果您可以访问文件系统,这是一种相当强大的方法。
//Your secure dir path based on server file-system
$secure_dir=dirname($_SERVER['DOCUMENT_ROOT']).DIRECTORY_SEPARATOR."secure".DIRECTORY_SEPARATOR;
include($secure_dir."securepage.php");
逻辑:
htdocs 文件夹之外的任何文件,因为这些链接超出了网站地址系统的范围。请原谅我的非正统编码约定。任何反馈都表示赞赏。
【讨论】:
Chuck 解决方案的替代(或补充)方法是通过在 .htaccess 文件中添加类似内容来拒绝访问与特定模式匹配的文件
<FilesMatch "\.(inc)$">
Order deny,allow
Deny from all
</FilesMatch>
【讨论】:
实际上我的建议是做所有这些最佳实践。
if (!defined(INCL_FILE_FOO)) {
header('HTTP/1.0 403 Forbidden');
exit;
}
这样,如果文件以某种方式放错了位置(错误的 ftp 操作),它们仍然受到保护。
【讨论】:
我曾经遇到过这个问题,解决了:
if (strpos($_SERVER['REQUEST_URI'], basename(__FILE__)) !== false) ...
但理想的解决方案是将文件放在网络服务器文档根目录之外,如另一个 anwser 中所述。
【讨论】:
我想直接限制对 PHP 文件的访问,但也可以通过jQuery $.ajax (XMLHttpRequest) 调用它。这对我有用。
if (empty($_SERVER["HTTP_X_REQUESTED_WITH"]) && $_SERVER["HTTP_X_REQUESTED_WITH"] != "XMLHttpRequest") {
if (realpath($_SERVER["SCRIPT_FILENAME"]) == __FILE__) { // direct access denied
header("Location: /403");
exit;
}
}
【讨论】:
你最好用一个入口来构建应用程序,即所有文件都应该从 index.php 访问
把它放在 index.php 中
define(A,true);
此检查应在每个链接文件中运行(通过 require 或 include)
defined('A') or die(header('HTTP/1.0 403 Forbidden'));
【讨论】:
最简单的方法是在调用include的文件中设置一些变量,比如
$including = true;
然后在包含的文件中,检查变量
if (!$including) exit("direct access not permitted");
【讨论】:
debug_backtrace() || die ("Direct access not permitted");
【讨论】:
我的答案在方法上有所不同,但包括此处提供的许多答案。我会推荐一种多管齐下的方法:
defined('_SOMECONSTANT') or die('Hackers! Be gone!');但是defined or die 方法有许多失败之处。首先,测试和调试的假设是一个真正的痛苦。其次,如果你改变主意,它会涉及到可怕的、令人麻木的、无聊的重构。 “查找和替换!”你说。是的,但是你有多确定它在任何地方都写得完全一样,嗯?现在将它与数千个文件相乘...o.O
然后是 .htaccess。如果您的代码被分发到管理员不那么谨慎的网站上会发生什么?如果您仅依靠 .htaccess 来保护您的文件,您还需要 a) 备份,b) 一盒用来擦干眼泪的纸巾,c) 一个灭火器来扑灭来自人们的所有仇恨邮件中的火焰使用您的代码。
所以我知道这个问题要求的是“最简单”,但我认为这要求的是更“防御性编码”。
我的建议是:
require('ifyoulieyougonnadie.php');(不是 include() 并作为defined or die 的替代品)在ifyoulieyougonnadie.php 中,做一些逻辑工作——检查不同的常量、调用脚本、本地主机测试等——然后实现你的die(), throw new Exception, 403 等。
我正在使用两个可能的入口点创建自己的框架——主要的 index.php(Joomla 框架)和 ajaxrouter.php(我的框架)——所以根据入口点,我会检查不同的东西。如果对ifyoulieyougonnadie.php 的请求不是来自这两个文件之一,我知道正在发生恶作剧!
但是如果我添加一个新的入口点呢?不用担心。我只是更改ifyoulieyougonnadie.php 并且我已排序,加上没有“查找和替换”。万岁!
如果我决定移动我的一些脚本来创建一个不同的框架,它没有相同的常量defined(),该怎么办? ...万岁! ^_^
我发现这种策略让开发变得更有趣,但更少:
/**
* Hmmm... why is my netbeans debugger only showing a blank white page
* for this script (that is being tested outside the framework)?
* Later... I just don't understand why my code is not working...
* Much later... There are no error messages or anything!
* Why is it not working!?!
* I HATE PHP!!!
*
* Scroll back to the top of my 100s of lines of code...
* U_U
*
* Sorry PHP. I didn't mean what I said. I was just upset.
*/
// defined('_JEXEC') or die();
class perfectlyWorkingCode {}
perfectlyWorkingCode::nowDoingStuffBecauseIRememberedToCommentOutTheDie();
【讨论】:
除了 .htaccess 方式之外,我还在各种框架中看到了一种有用的模式,例如在 ruby on rails 中。它们在应用程序根目录中有一个单独的 pub/ 目录,而库目录与 pub/ 位于 同一级别 的目录中。像这样的东西(不理想,但你明白了):
app/
|
+--pub/
|
+--lib/
|
+--conf/
|
+--models/
|
+--views/
|
+--controllers/
您将 Web 服务器设置为使用 pub/ 作为文档根目录。这为您的脚本提供了更好的保护:虽然它们可以从文档根目录中访问以加载必要的组件,但无法从 Internet 访问这些组件。除了安全之外的另一个好处是一切都在一个地方。
此设置比仅在每个包含的文件中创建检查要好,因为“不允许访问”消息是攻击者的线索,并且比 .htaccess 配置更好,因为它不是基于白名单的:如果你搞砸了文件扩展名在 lib/、conf/ 等目录中不可见。
【讨论】:
什么 Joomla!确实是在根文件中定义一个常量并检查包含的文件中是否定义了相同的常量。
defined('_JEXEC') or die('Restricted access');
否则
正如大多数框架(如 CodeIgniter)所推荐的那样,通过将所有文件放在 webroot 目录之外,可以将所有文件保持在 http 请求的范围之外。
甚至通过在包含文件夹中放置一个 .htaccess 文件并编写规则,您可以防止直接访问。
【讨论】:
如果更准确地说,你应该使用这个条件:
if (array_search(__FILE__, get_included_files()) === 0) {
echo 'direct access';
}
else {
echo 'included';
}
get_included_files() 返回包含所有包含文件名称的索引数组(如果文件被执行,则它被包含并且其名称在数组中)。 因此,当直接访问文件时,它的名称是数组中的第一个,数组中的所有其他文件都被包括在内。
【讨论】:
执行以下操作:
<?php
if ($_SERVER['SCRIPT_FILENAME'] == '<path to php include file>') {
header('HTTP/1.0 403 Forbidden');
exit('Forbidden');
}
?>
【讨论】:
<?php
if (eregi("YOUR_INCLUDED_PHP_FILE_NAME", $_SERVER['PHP_SELF'])) {
die("<h4>You don't have right permission to access this file directly.</h4>");
}
?>
将上面的代码放在包含的 php 文件的顶部。
例如:
<?php
if (eregi("some_functions.php", $_SERVER['PHP_SELF'])) {
die("<h4>You don't have right permission to access this file directly.</h4>");
}
// do something
?>
【讨论】:
以下代码用于 Flatnux CMS (http://flatnux.altervista.org):
if ( strpos(strtolower($_SERVER['SCRIPT_NAME']),strtolower(basename(__FILE__))) )
{
header("Location: ../../index.php");
die("...");
}
【讨论】:
我发现这个只适用于 php 且不变的解决方案适用于 http 和 cli:
定义一个函数:
function forbidDirectAccess($file) {
$self = getcwd()."/".trim($_SERVER["PHP_SELF"], "/");
(substr_compare($file, $self, -strlen($self)) != 0) or die('Restricted access');
}
在你想阻止直接访问的文件中调用函数:
forbidDirectAccess(__FILE__);
上面给出的这个问题的大多数解决方案都不适用于 Cli 模式。
【讨论】:
if (basename($_SERVER['PHP_SELF']) == basename(__FILE__)) { die('Access denied'); };
【讨论】:
<?php
$url = 'http://' . $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'];
if (false !== strpos($url,'.php')) {
die ("Direct access not premitted");
}
?>
【讨论】:
已经多次提到将包含文件存储在 Web 可访问目录之外,这在可能的情况下无疑是一个好策略。但是,我还没有看到提到的另一个选项:确保您的包含文件不包含任何可运行的代码。如果你的包含文件只定义了函数和类,没有其他代码,直接访问时只会产生一个空白页。
无论如何都允许从浏览器直接访问该文件:它不会做任何事情。它定义了一些函数,但没有一个被调用,所以它们都没有运行。
<?php
function a() {
// function body
}
function b() {
// function body
}
这同样适用于只包含 PHP 类的文件。
尽可能将文件保存在 Web 目录之外仍然是个好主意。
system 的页面,因为这会与用于代码的路径冲突。我觉得这很烦人。【讨论】:
尽管您可以使用下面的方法,但它确实存在缺陷,因为它可以被伪造,除非您可以添加另一行代码以确保请求仅来自您的服务器,或者使用 Javascript。 您可以将此代码放在 HTML 代码的 Body 部分中,以便在那里显示错误。
<?
if(!isset($_SERVER['HTTP_REQUEST'])) { include ('error_file.php'); }
else { ?>
在此处放置您的其他 HTML 代码
<? } ?>
这样结束,因此错误的输出将始终显示在正文部分中,如果这是您想要的那样。
【讨论】:
出于安全原因,我建议不要使用$_SERVER。
您可以在包含另一个变量的第一个文件中使用像 $root=true; 这样的变量。
并在包含的第二个文件的开头使用isset($root)。
【讨论】:
您还可以做的是密码保护目录并将所有 php 脚本保存在那里,当然除了 index.php 文件,因为在包含密码时不需要,因为它只需要 http使用权。它还将为您提供访问脚本的选项以防万一,因为您将拥有访问该目录的密码。您需要为目录设置 .htaccess 文件和 .htpasswd 文件来验证用户身份。
好吧,您也可以使用上面提供的任何解决方案,以防您觉得不需要正常访问这些文件,因为您始终可以通过 cPanel 等访问它们。
希望对你有帮助
【讨论】:
最简单的方法是将包含的内容存储在 Web 目录之外。这样服务器就可以访问它们,但没有外部机器。唯一的缺点是您需要能够访问服务器的这一部分。好处是它不需要设置、配置或额外的代码/服务器压力。
【讨论】:
我没有发现 .htaccess 的建议很好,因为它可能会阻止 您可能希望允许用户访问的该文件夹中的其他内容, 这是我的解决方案:
$currentFileInfo = pathinfo(__FILE__);
$requestInfo = pathinfo($_SERVER['REQUEST_URI']);
if($currentFileInfo['basename'] == $requestInfo['basename']){
// direct access to file
}
【讨论】:
前面提到的添加了 PHP 版本检查的解决方案:
$max_includes = version_compare(PHP_VERSION, '5', '<') ? 0 : 1;
if (count(get_included_files()) <= $max_includes)
{
exit('Direct access is not allowed.');
}
【讨论】:
get_included_files 会将包含的文件作为数组返回,count 将数组更改为数字,我们包含的文件应该超过 1 个文件,如果有1个包含文件,意思是这个文件直接调用
您可以使用 phpMyAdmin 样式:
/**
* block attempts to directly run this script
*/
if (getcwd() == dirname(__FILE__)) {
die('Attack stopped');
}
【讨论】: