Comment faire pour refuser l'accès à un fichier dans .htaccess

J'ai le texte suivant .htaccess:

RewriteEngine On
RewriteBase /

# Protect the htaccess file
<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>

# Protect log.txt
<Files ./inscription/log.txt>
Order Allow,Deny
Deny from all
</Files>

# Disable directory browsing
Options All -Indexes

Je suis en train d'interdire l'accès aux visiteurs le fichier suivant:

domain.com/inscription/log.txt

mais ce que j'ai ci-dessus ne fonctionne pas: je peux toujours accéder au fichier depuis le navigateur à distance.

InformationsquelleAutor tucson | 2012-07-30
  1. 167

    Dans un fichier htaccess, le champ d'application de la <Files> directive ne s'applique qu'à ce répertoire (je suppose que pour éviter la confusion lorsque les règles/directives dans le htaccess de sous-répertoires appliquée en remplaçant celles de la société mère).

    De sorte que vous pouvez avoir:

    <Files "log.txt">  
  Order Allow,Deny
  Deny from all
</Files>

    Pour Apache 2.4+, vous pouvez utiliser:

    <Files "log.txt">  
  Require all denied
</Files>

    Dans un fichier htaccess dans votre inscription répertoire. Ou vous pouvez utiliser mod_rewrite de faire en sorte de gérer à la fois les cas de refus d'accès au fichier htaccess ainsi que log.txt:

    RewriteRule /?\.htaccess$ - [F,L]

RewriteRule ^/?inscription/log\.txt$ - [F,L]
    • Si vous utilisez IIS, le faire dans le web.fichier de config à la place.
    • En utilisant les règles de réécriture nie ma propre code d'accéder au contenu de *.txt. Comment feriez-vous pour contourner ce problème?
    • "le champ d'application de la <Files> directive ne s'applique qu'au répertoire" - non, il ne le fait pas. Il s'applique à ce répertoire et tous les sous-répertoires-dessous. Donc <Files "log.txt"> va attraper /log.txt et /inscription/log.txt.
    • Pouvez-vous mettre à jour cette réponse depuis Order Allow,Deny est supprimée de la version 2.4?
    InformationsquelleAutor Jon Lin
  2. 15

    Forte pattern matching — C'est la méthode que j'utilise ici de Presse Périssables. Grâce à la correspondance de modèle, cette technique empêche l'accès externe à tous les fichiers contenant “.hta”, “.HTA”, ou en tout cas insensibles à la combinaison de ceux-ci. Pour illustrer, ce code d'empêcher l'accès par l'une des demandes suivantes:

    • .htaccess
    • .HTACCESS
    • .hTaCcEsS
    • testFILE.htaccess
    • nom de fichier.HTACCESS
    • FILEROOT.hTaCcEsS

    etc.., etc. Clairement, cette méthode est très efficace pour la sécurisation de votre site des fichiers HTAccess. De plus, cette technique comprend également le fortifiant “Satisfaire Tous” de la directive. Notez que ce code doit être placé dans votre domaine racine du fichier HTAccess:

    # STRONG HTACCESS PROTECTION
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>
    • J'obtiens une erreur de serveur interne 500 lors de l'utilisation de ce code. Aucune idée pourquoi? Je suis à l'aide de WordPress.
    • Ne serait-il pas plus judicieux de tout simplement interdire aux utilisateurs d'accéder aux fichiers de configuration utilisateur? En utilisant quelque chose comme <Files ~"^\..*">.
    InformationsquelleAutor Yaşar Xavan
  3. 12

    Je ne crois pas actuellement accepté réponse est correcte. Par exemple, j'ai le texte suivant .htaccess fichier à la racine d'un serveur virtuel (apache 2.4):

    <Files "reminder.php">
require all denied
require host localhost
require ip 127.0.0.1
require ip xxx.yyy.zzz.aaa
</Files>

    Cela empêche l'accès externe à reminder.php qui est dans un sous-répertoire.
    J'en ai un similaire .htaccess fichier sur mon serveur Apache 2.2 avec le même effet:

    <Files "reminder.php">
        Order Deny,Allow
        Deny from all
        Allow from localhost
        Allow from 127.0.0.1
     Allow from xxx.yyy.zzz.aaa
</Files>

    Je ne sais pas pour vous, mais je soupçonne que c'est la tentative de définir le sous-répertoire spécifiquement dans le .htaccess fichier, viz <Files ./inscription/log.txt> qui est à l'origine de la panne. Il serait plus simple de mettre le .htaccess fichier dans le même répertoire que log.txt c'est à dire dans le inscription répertoire et il va y travailler.

    • Vous obtenez ma upvote, cela a fonctionné pour mon apache 2.4 trop.
    InformationsquelleAutor Nik Dow
  4. 2

    Place la ligne ci-dessous dans votre .fichier htaccess et remplacez le nom de fichier que vous souhaitez

    RewriteRule ^(test\.php) - [F,L,NC]
    InformationsquelleAutor Rakesh Dongarwar
  5. -4

    Bien vous pouvez utiliser le <Directory> tag
    par exemple:

    <Directory /inscription>
  <Files log.txt>
    Order allow,deny
    Deny from all
  </Files>
</Directory>

    Ne pas utiliser ./ parce que si vous venez d'utiliser / il recherche dans le répertoire racine de votre site.

    Pour un exemple plus détaillé visite http://httpd.apache.org/docs/2.2/sections.html

    • Mais un <Directory> conteneur n'est pas autorisée dans .htaccess. Dans .htaccess, le .htaccess fichier lui-même est le "Directory conteneur" (répertoire, fichier de config).
    • Eh bien, vous pourriez utiliser la Redirection. Redirect /inscription/log.txt access_denied.html Cela va rediriger l'utilisateur vers access_denied.html si l'utilisateur passe à inscription/log.txt dans l'inscription de répertoire.
    InformationsquelleAutor Nicholas English