PHP/Apache 拒绝用户访问文件夹但不访问脚本答案

【问题标题】：PHP/Apache Deny folder access to user but not to scriptPHP/Apache 拒绝用户访问文件夹但不访问脚本
【发布时间】：2011-02-09 16:55:35
【问题描述】：

所以我有这个 php web 应用程序，我的一个文件夹包含一些可以下载的文件。

我有一个修改标题的下载脚本，以便始终提供下载链接。（而不是显示图片，例如，当您单击链接时，会弹出一个下载框）

现在，如果您输入如下网址：http://www.mywebsite.com/content/ 您将获得所有可下载文件的列表，当然，您可以直接下载所有文件，而无需通过网站界面。

我个人认为这不是问题，因为我经常使用downthemall或其他下载工具，这种访问方式非常节省时间......

但我的公司当然不这么认为：-p 他们希望人们使用界面来查看广告...

他们是否可以通过受保护的 .htaccess 将文件夹访问权限保留给我的下载脚本，但拒绝用户访问...？

我希望我是有道理的，你知道我的意思:)

感谢所有帮助/评论！

【问题讨论】：

【解决方案1】：

是的，这是正确的。 .access 文件阻止用户访问，但对本地服务器脚本没有影响。

【讨论】：

【解决方案2】：

将文件夹移出网络服务器的根目录，这样 apache 就不会从该目录中服务器文件。如果 apache/http 用户可以读取该文件夹中的文件，您仍然可以包含该文件，但您的站点用户将无法从任何 url 访问它。

【讨论】：

【解决方案3】：

Deny from all

在.htaccess 或移动文件根目录上方的文件

【讨论】：

【解决方案4】：

您可以创建一个 .htaccess 文件并输入 Options -Indexes 这将禁用目录中的文件列表。

如果您还需要来自您网站的流量，您需要创建一个文件说... index.php 使用检查$_SERVER['HTTP_REFERER'] 的代码来查看流量是否来自您的网站。

编辑

哦，我忘了你实际上可以在 .htaccess 中修复它：

Options -Indexes
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://your-host.com/.*$ [NC]
RewriteRule ^.* /403-page [L,R]

这将完成我建议的脚本的所有工作，因此您将不再需要它。

【讨论】：