Éviter l'accès direct à php include de fichier

J'ai un fichier php qui je vais être en utilisant exclusivement comme un include. Par conséquent, je tiens à jeter une erreur au lieu de l'exécuter quand il est directement accessible en tapant l'URL au lieu d'être inclus.

Essentiellement, j'ai besoin de faire une vérification de la façon suivante dans le fichier php:

if ( $REQUEST_URL == $URL_OF_CURRENT_PAGE ) die ("Direct access not premitted");

Est-il un moyen facile de faire cela?

  • au lieu de le die (), vous devez tester 'header("HTTP/1.1 404 Fichier Non Trouvé", 404); exit;'. Ce sera (au moins sur apache) que le serveur retourne à la normale de la page 404.
  • Voici deux méthodes faciles que j'ai expliquer pour désactiver l'accès direct en PHP, les fichiers inclus: codespeedy.com/disable-direct-access-to-the-php-include-file
InformationsquelleAutor Alterlife | 2009-01-03
  1. 157

    Le moyen le plus facile pour le générique "PHP app en cours d'exécution sur un serveur Apache qui vous peut ou ne peut pas contrôler totalement la situation est à mettre votre inclut dans un répertoire et de refuser l'accès à ce répertoire dans votre .fichier htaccess. Pour sauver les gens de la difficulté de Googler, si vous utilisez Apache, le mettre dans un fichier appelé ".htaccess" dans le répertoire que vous ne voulez pas être accessibles:

    Deny from all

    Si vous avez le plein contrôle du serveur (en plus fréquent de nos jours, même pour de petites applications que quand j'ai écrit cette réponse), la meilleure approche consiste à coller les fichiers que vous souhaitez protéger à l'extérieur du répertoire de votre serveur web est le service. Donc, si votre application est en cours d' /srv/YourApp/, configurez le serveur pour servir des fichiers à partir de /srv/YourApp/app/ et de mettre l'inclut dans /srv/YourApp/includes, donc il y a, littéralement, n'est pas une URL qui peuvent y accéder.

    • Merci, depuis que je fais le plein contrôle sur le serveur où je lance cette appli, c'est la réponse, je suis allé avec.
    • si vous avez le plein contrôle du serveur est mieux si vous mettez la config dans un répertoire de la directive dans le fichier de configuration de l'hôte virtuel. Apache lire qu'une seule fois au démarrage, .htaccess qui est lu sur tous les accès et de ralentir le serveur
    • Il serait bien d'avoir un exemple .fichier htaccess dans le cadre de cette réponse.
    • <Files ~ "\.inc$"> Order Allow,Deny Deny from All </Files>
    • Si vous utilisez nginx? 😛
    • Aussi, pas tout le monde sent que le Débordement de la Pile doit être un "plz envoyer teh codez" du site. Si elle répond à la question clairement, alors c'est une bonne réponse. Fournir un exemple où aucun n'est nécessaire seulement encourage les copier-coller de codage.
    • Réponse intéressante. Sauf que PHP est le langage de la masse. StackOverflow est aller à "PHP" site des masses (autres que php.net, bien sûr). La plupart des masses ont un peu, heu, "grisé" la compréhension de la sécurité des sites web sur le compte de leur pas méchants pirates. ET mise en place .htaccess CORRECTEMENT est en fait massivement délicat. J'ai, pour une fois, pense pas moins de vous pour complicité de C&P codage... juste pour cette fois.o.O PS: Mettre certains de la mise en cache des trucs là trop cos ces noobs ne savent rien! C'est gênant. De vrais codeurs (comme nous) sont naissance savoir! 😛
    • Et pour expliquer mon downvote 🙁 programmeurs PHP (surtout) besoin de devenir beaucoup plus conscients de la sécurité du site ET le code de sécurité. Ils ne sont pas la même chose. Nous ne devrions pas encourager stratégie unique de solutions, du moins, pas sans évoquer les pièges (voir ma réponse ci-dessous).
    • Sans rancune. Vous devriez downvote réponses vous ne pensez pas un assez bon travail. Pour expliquer mon point de vue: je n'ai pas l'impression que je suis à la tâche de faire de mauvais codeurs (pas de débutants, mais le mauvais codeurs) écrire du bon code. Je viens de faire de mon mieux pour aider les gens qui sont prêts à essayer et d'apprendre. Comme pour de multiples stratégies, je me sens squicky à propos de faire la même chose plusieurs fois. La plupart du temps, c'est un bel exemple de vaudou, de la programmation à moi — "je ne suis pas sûr si je suis en train de faire de ce droit, donc je vais faire deux éventuellement mal de choses et j'espère qu'un qui fonctionne!" Mais je pense toujours que votre réponse est la bonne, donc +1 pour vous.
    • Au 55200+ vue, je crois que c'est là que Google prend tout le monde ^_^ donc pour le modifier +1 de moi - le "tuer deux oiseaux avec une pierre" prix 😉 Merci beaucoup pour le compliment 🙂 Maintenant, si vous m'excuserez, retour vers le vaudou!
    • J'ai essayé de mettre le code suivant dans mon httpd.fichier conf (je suis sous CentOS et ma page n'est pas du tout accessible maintenant. Je suis à essayer de comprendre quel était le problème. <Directory "/var/www/html/include"> AllowOverride All Allow from all </Directory> /var/www/html/include <= c'était le chemin que je voulais restreindre, de sorte que les gens ne peuvent pas aller dans mes fichiers par le biais de l'URL par l'accès example.com/include Comment pourrais-je être en mesure de trouver ce que j'ai fait de mal? Ainsi, j'ai essayé de supprimer les lignes et ma page web ne peut pas toujours être accessible via l'URL
    • Est cette réponse vraiment correcte ? Je vais avoir besoin de AllowOverride All dans les configs Apache, et c'est de loin pas par défaut sur tous les principaux OS configurations.
    • J'ai essayé cela et si vous ne Deny from all il n'a même pas de travailler dans un include, il sera 404.

    InformationsquelleAutor Chuck
  2. 174

    L'ajouter à la page que vous souhaitez seulement être inclus

    <?php
if(!defined('MyConst')) {
   die('Direct access not permitted');
}
?>

    alors sur les pages que l'inclure ajouter

    <?php
define('MyConst', TRUE);
?>
    • J'ai vraiment besoin d'apprendre à taper plus vite. C'est de la même façon, je voudrais suggérer, comme son plus sécuritaire qu'une méthode qui utilise une variable pour vérifier. Depuis avec PHP des configurations, il peut être possible de remplacer la variable.
    • C'est de cette façon un peu "ordinaire" applications de la gérer. Je sais que Joomla est-il de cette façon et je pense que Wiki, WordPress, ainsi que d'autres.
    • Peut-être que le message est trop utile pour un hacker (pas un vrai utilisateur de trouver ces pages), vous pouvez tout simplement envoyer une redirection en-tête et d'arrêter le php de traitement.
    • Il suffit d'envoyer une 404 en-tête et de sortie -- la page d'erreur sera identique à la normale 404 pages (au moins sur Apache).
    • Si quelqu'un sais de votre code et de créer une page avec votre secret constantes pour les inclure? est-ce contournement de la sécurité de votre protection?
    • c'est à propos du blocage de l'accès à la visualisation de vos include/bibliothèque de fichiers de script directement, la réponse œuvres. Si ils ont créé somefile.php sur votre serveur et ajouté vos définir en elle, ce n'est pas pour les laisser accéder directement au fichier include. Il leur permettra de "comprendre" votre bibliothèque de fichiers, mais si elles obtiennent assez loin pour être la création de fichiers sur votre serveur et connaître vos définir/inclure des scripts, vous avez d'autres questions susceptibles de nier l'écriture de leur propre fichier de votre de définir en premier lieu.
    • Une façon plus simple de refuser l'accès avec le même résultat serait: defined('MyConst') || die('Direct access not permitted');
    • La bonne Solution, Aimé. Merci

    InformationsquelleAutor UnkwnTech
  3. 106

    J'ai un fichier que j'ai besoin d'agir différemment lorsqu'il est inclus vs quand il est directement accessible (principalement un print() vs return()) Voici quelques code modifié:

    if(count(get_included_files()) ==1) exit("Direct access not permitted.");

    Le fichier en cours d'accès est toujours un fichier inclus, d'où l' == 1.  

    • C'est en fait un enfer d'une idée, en vérifiant le fichier inclus à compter. Je me demande ce qui est mieux: à l'aide d'définit, ou à l'aide de cette méthode? Cela semble de plus en plus autonome.
    • Première fois que je l'ai jamais vu quelqu'un venir avec ce. Je ne sais pas pourquoi mais, parce qu'il me semble aussi autonome que possible, et c'est directement la mesure de ce que vous voulez savoir (si c'est inclus ou pas), plutôt que de mesurer quelque chose supposé être associée, comme pour une certaine constante ou un emplacement interdit par .htaccess). Belle.
    • Celui-ci est vraiment cool parce qu'en l'utilisant .htaccess pour bloquer tous .php les fichiers peuvent ne pas être possible tout le temps comme il peut y avoir certains fichiers dans le même répertoire elles doivent être appelés directement ou même par les javascripts. Merci pour cette belle idée!
    • Cela fonctionne uniquement en PHP5 et. Pré-PHP5 vous voulez comparer à 0 au lieu de 1.
    • C'est vraiment une solution intelligente et vous permet de contrôler l'accès direct, pas il suffit de le bloquer - c'est ce que j'aime. J'ai l'habitude d'inclure les tests unitaires dans les fichiers eux-mêmes, et de cette façon, je peux emballer mes tests unitaires dans cette instruction si. Me demande comment elle est efficace..
    • Intelligent. J'utilise cette méthode dans mon application.
    • Méthode géniale
    • Ne l'ai pas testé en pré-php5 mais je suppose que le code serait if( count(get_included_files()) == ((version_compare(PHP_VERSION, '5.0.0', '>='))?1:0) ) exit("Direct access not permitted.");
    • Solution intelligente.
    • Enfin quelqu'un pour répondre à la quiestion clairement!!! juste perdu mon temps à la recherche de réponses pour 3 jours et certains la façon, trouvé votre réponse et a très bien fonctionné!!! Merci man!

    InformationsquelleAutor null
  4. 31

    La meilleure façon de prévenir l'accès direct aux fichiers est de les placer à l'extérieur de la web-serveur racine du document (généralement, un niveau au-dessus). Vous pouvez toujours inclure, mais il n'y a pas de possibilité de quelqu'un d'accéder par le biais d'une requête http.

    J'ai l'habitude d'aller tout le chemin, et de placer l'ensemble de mes fichiers PHP en dehors de la racine du document en dehors de la fichier de bootstrap - un seul index.php dans la racine du document qui commence le routage de l'ensemble du site web/de l'application.

    • Cette solution est idéale si vous êtes en mesure de le faire. J'ai récemment eu à commencer à travailler avec un partage des hébergeurs et de découvrir l'un des nombreux désagréments pour que tout doit être à l'intérieur de la docroot.
    • Dans tous les fournisseur d'hébergement, j'ai travaillé avec j'ai toujours eu accès à l' (exactement) un niveau au-dessus de la racine du document.
    • Chez certains hébergeurs (y compris mon actuel), vous pouvez pointer votre domaine vers le dossier sur lequel vous le souhaitez.
    • C'est une bonne alternative aussi bien. à l'aide de preg_match -> if ( preg_match("~globalfile\.php~i", $_SERVER['PHP_SELF'] ) ) { die('<h3 style="color:red"> Appareil d'Alerte de Sécurité - Accès Direct Rejetée! Votre IP a été connecté !<h3>'); // Arrêt de la poursuite de l'exécution }
    • Que l'url devzone.zend.com/node/view/id/70 c'est une erreur 404 maintenant. La réponse devrait inclure le code qui a été utilisé à partir de ce non-existant url.
    InformationsquelleAutor Eran Galperin
  5. 25

    Une alternative (ou un complément) de Chuck solution serait de refuser l'accès à des fichiers correspondant à un modèle spécifique par mettre quelque chose comme ceci dans votre .fichier htaccess

    <FilesMatch "\.(inc)$">
    Order deny,allow
    Deny from all
</FilesMatch>
    • +1 pour la syntaxe des conseils pour nous paresseux types!
    InformationsquelleAutor Kevin Loney
  6. 24

    1: Vérifier le nombre de fichiers inclus

    if( count(get_included_files()) == ((version_compare(PHP_VERSION, '5.0.0', '>='))?1:0) )
{
    exit('Restricted Access');
}

    Logique: PHP quitte si le minimum inclure le comte n'est pas remplie. Noter que, avant PHP5, la page de base n'est pas considéré comme un include.

    2: Définir et vérifier une constante globale

    //In the base page (directly accessed):
define('_DEFVAR', 1);

//In the include files (where direct access isn't permitted):
defined('_DEFVAR') or exit('Restricted Access');

    Logique: Si la constante n'est pas définie, l'exécution n'a pas commencé à partir de la page de base, et PHP allait s'arrêter.

    3: Distance de l'adresse de l'autorisation

    //Call the include from the base page(directly accessed):
$includeData = file_get_contents("http://127.0.0.1/component.php?auth=token");

//In the include files (where direct access isn't permitted):
$src = $_SERVER['REMOTE_ADDR']; //Get the source address
$auth = authoriseIP($src); //Authorisation algorithm
if( !$auth ) exit('Restricted Access');

    L'inconvénient de cette méthode est isolé à l'exécution, à moins qu'une session-jeton fourni avec la demande interne. Vérifier par l'intermédiaire de la boucle de retour de l'adresse dans le cas d'un seul serveur configuration, ou une adresse de liste blanche pour un multi-serveur ou à charge équilibrée de l'infrastructure serveur.

    4: Jeton d'autorisation

    Similaire à la méthode précédente, on peut utiliser GET ou POST pour passer un jeton d'autorisation pour le fichier include:

    if($key!="serv97602"){header("Location: ".$dart);exit();}

    Une très salissant méthode, mais peut-être aussi le plus sûr et le plus polyvalent dans le même temps, lorsqu'il est utilisé dans le droit chemin.

    5: Serveur de configuration spécifiques

    La plupart des serveurs vous permettent d'attribuer des autorisations pour les fichiers ou les répertoires. Vous pourrez y mettre tous vos inclut dans les répertoires, et que le serveur soit configuré pour les refuser.

    Par exemple dans APACHE, la configuration est stockée dans la .htaccess fichier. Tutoriel ici.

    Note cependant que serveur de configurations spécifiques ne sont pas recommandés par moi parce qu'ils sont mauvais pour la portabilité sur différents serveurs web. Dans de tels cas, où le nier-l'algorithme est complexe ou la liste de refus d'annuaires est plutôt grand, il peut seulement faire la reconfiguration des sessions plutôt macabre. En fin de compte, il est préférable de gérer dans le code.

    6: Placer les inclut dans un répertoire sécurisé à l'EXTÉRIEUR de la racine du site

    Moins privilégiées en raison de restrictions d'accès dans les environnements de serveurs, mais plutôt une méthode puissante si vous avez accès au système de fichiers.

    //Your secure dir path based on server file-system
$secure_dir=dirname($_SERVER['DOCUMENT_ROOT']).DIRECTORY_SEPARATOR."secure".DIRECTORY_SEPARATOR;
include($secure_dir."securepage.php");

    Logique:

    • L'utilisateur ne peut pas demander n'importe quel fichier en dehors de la htdocs dossier que les liens seront en dehors de la portée de l'adresse du site web du système.
    • Le serveur php accède au système de fichiers natif, et peut donc accéder à des fichiers sur un ordinateur, exactement comme un programme normal avec les privilèges requis peut.
    • En plaçant les fichiers dans ce répertoire, vous pouvez vous assurer que le serveur php arrive à y accéder, tandis que le hotlinking est refusé à l'utilisateur.
    • Même si le serveur de système de fichiers de configuration d'accès n'a pas été fait correctement, cette méthode permettrait d'éviter ces fichiers de devenir public accidentellement.

    S'il vous plaît excusez mon peu orthodoxe des conventions de codage. Tout commentaire est apprécié.

    • j'aime bien le numéro 2
    InformationsquelleAutor RiA
  7. 15

    En fait, mon conseil est de faire tous ces meilleures pratiques.

    • Mettre les documents à l'extérieur de la racine OU dans un répertoire de refuser l'accès par le serveur web
      ET
    • Utilisation d'un définir dans votre visible documents que les documents cachés vérifier:
          if (!defined(INCL_FILE_FOO)) {
          header('HTTP/1.0 403 Forbidden');
          exit;
      }

    De cette façon, si les fichiers sont égarés en quelque sorte (un errant opération ftp), ils sont encore protégés.

    InformationsquelleAutor jmucchiello
  8. 7

    J'ai eu ce problème une fois, résolu avec:

    if (strpos($_SERVER['REQUEST_URI'], basename(__FILE__)) !== false) ...

    mais l'idéal est de placer le fichier à l'extérieur de la web-serveur racine du document, tel que mentionné dans une autre réponse.

    InformationsquelleAutor mati
  9. 5

    Vous feriez mieux de construire des applications avec un seul point d'entrée, c'est à dire tous les fichiers doivent être atteint à partir de index.php

    De le placer dans index.php

    define(A,true);

    Cette case doit s'exécuter dans chaque fichier lié (via nécessitent ou include)

    defined('A') or die(header('HTTP/1.0 403 Forbidden'));
    InformationsquelleAutor user2221806
  10. 4

    La façon la plus simple est de mettre une variable dans le fichier qui comprennent des appels, comme

    $including = true;

    Puis dans le fichier qui est inclus, vérifiez la variable

    if (!$including) exit("direct access not permitted");
    • C'est dangereux si register_globals est activé.
    • PHP est dangereux si register_globals est activé.
    • super dangereux pour être clair.
    InformationsquelleAutor Kyle Cronin
  11. 4

    Ce Que Joomla! ne est la définition d'une Constante dans un fichier racine et de vérifier si le même est défini dans les fichiers inclus.

    defined('_JEXEC') or die('Restricted access');

    ou d'autre

    on peut garder tous les fichiers en dehors de la portée d'une requête http en les plaçant à l'extérieur du répertoire webroot comme la plupart des frameworks comme CodeIgniter recommander.

    ou même en plaçant un .fichier htaccess dans le dossier inclure et les règles d'écriture, vous pouvez empêcher l'accès direct.

    InformationsquelleAutor Pradeesh kumar
  12. 4
    debug_backtrace() || die ("Direct access not permitted");
    InformationsquelleAutor Unirgy
  13. 4

    Je voulais restreindre l'accès à la PHP fichier directement, mais aussi être capable de l'appeler par l'intermédiaire jQuery $.ajax (XMLHttpRequest). Voici ce qui a fonctionné pour moi.

    if (empty($_SERVER["HTTP_X_REQUESTED_WITH"]) && $_SERVER["HTTP_X_REQUESTED_WITH"] != "XMLHttpRequest") {
    if (realpath($_SERVER["SCRIPT_FILENAME"]) == __FILE__) { //direct access denied
        header("Location: /403");
        exit;
    }
}
    InformationsquelleAutor krasenslavov
  14. 3

    Outre le .htaccess passant, j'ai vu un pattern très utile dans différents cadres, par exemple en ruby on rails. Ils ont un pub/répertoire dans le répertoire racine de l'application et de la bibliothèque sont les répertoires qui vivent dans les annuaires de la même niveau comme pub/. Quelque chose comme ceci (pas l'idéal, mais vous voyez l'idée):

    app/
 |
 +--pub/
 |
 +--lib/
 |
 +--conf/
 |
 +--models/
 |
 +--views/
 |
 +--controllers/

    De configurer votre serveur web pour utiliser pub/comme racine du document. Cela offre une meilleure protection à vos scripts: alors qu'ils peuvent atteindre à partir de la racine du document à charger les composants nécessaires, il est impossible d'accéder aux composants de l'internet. Un autre avantage en plus de la sécurité, c'est que tout est dans un seul endroit.

    Cette configuration est mieux que de créer des contrôles dans chaque fichier inclus parce que "accès non autorisé" message est un indice pour les attaquants, et c'est mieux qu' .htaccess configuration car il n'est pas blanc-liste: si vous bousiller les extensions de fichier, il ne sera pas visible dans la lib/conf/etc. les répertoires.

    • Après un long moment, j'ai juste envie de dire que le modèle que vous décrivez ci-dessus intitulée MVC (Modèle - Vue - Contrôleur) modèle. S'il vous plaît, consultez google et ajouter quelques infos pour votre réponse. Aussi MVC en charge non seulement Ruby on Rails et ASP.NET les applications, mais aussi de PHP ( voir Lavarel, CakePHP).
    InformationsquelleAutor bandi
  15. 2

    Si plus précisément, vous devez utiliser cette condition:

    if (array_search(__FILE__, get_included_files()) === 0) {
    echo 'direct access';
}
else {
    echo 'included';
}

    get_included_files() retourne tableau indexé contenant les noms de tous les fichiers inclus (si le fichier est beign exécuté alors qu'il a été inclus et son nom est dans le tableau).
    Ainsi, lorsque le fichier est directement accessible, son nom est le premier dans le tableau, tous les autres fichiers dans le tableau ont été inclus.

    InformationsquelleAutor Oleg Lokshyn
  16. 1
    <?php
if (eregi("YOUR_INCLUDED_PHP_FILE_NAME", $_SERVER['PHP_SELF'])) { 
 die("<h4>You don't have right permission to access this file directly.</h4>");
}
?>

    placez le code ci-dessus dans le haut de votre inclus fichier php.

    ex:

    <?php
if (eregi("some_functions.php", $_SERVER['PHP_SELF'])) {
    die("<h4>You don't have right permission to access this file directly.</h4>");
}

    //do something
?>
    • eregi est obsolète maintenant. Remplacer avec preg_match comme indiqué ci-dessous...
    • if ( preg_match("~globalfile\.php~i", $_SERVER['PHP_SELF'] ) ) { die('<h3 style="color:red"> Appareil d'Alerte de Sécurité - Accès Direct Rejetée! Votre IP a été connecté !<h3>'); // Arrêt de la poursuite de l'exécution } whre ~ est le délimiteur
    InformationsquelleAutor Blogging Tips
  17. 1

    Le code suivant est utilisé dans le Flatnux CMS (http://flatnux.altervista.org):

    if ( strpos(strtolower($_SERVER['SCRIPT_NAME']),strtolower(basename(__FILE__))) )
{
    header("Location: ../../index.php");
    die("...");
}
    InformationsquelleAutor JohnRDOrazio
  18. 1

    J'ai trouvé ce php-seulement et invariable solution qui fonctionne à la fois avec le protocole http et de la cli :

    Définir une fonction : 

    function forbidDirectAccess($file) {
    $self = getcwd()."/".trim($_SERVER["PHP_SELF"], "/");
    (substr_compare($file, $self, -strlen($self)) != 0) or die('Restricted access');
}

    Appel de la fonction dans le fichier que vous souhaitez éviter l'accès direct à : 

    forbidDirectAccess(__FILE__);

    La plupart des solutions données ci-dessus à cette question ne fonctionnent pas en mode Cli.

    • où il est censé tapez l'URL dans l'interface de ligne de mode?
    • C'est juste pour empêcher le lancement de script php/inlude en mode cli. Peut être utile dans un projet avec plusieurs développeurs.
    InformationsquelleAutor Ka.
  19. 1
    if (basename($_SERVER['PHP_SELF']) == basename(__FILE__)) { die('Access denied'); };
    InformationsquelleAutor andy
  20. 1

    Ma réponse est un peu différent, mais dans l'approche inclut un grand nombre de réponses fournies ici. Je recommande une approche à volets multiples:

    1. .htaccess et Apache restrictions pour assurer
    2. defined('_SOMECONSTANT') or die('Hackers! Be gone!');

    CEPENDANT la defined or die approche présente un certain nombre de manquements. Tout d'abord, c'est une vraie douleur dans les hypothèses à tester et déboguer avec. Deuxièmement, elle implique horriblement, l'état d'esprit numbingly ennuyeux refactoring si vous changez d'avis. "Rechercher et remplacer!" dites-vous. Oui, mais comment êtes-vous sûr qu'il est écrit exactement la même chose partout, hmmm? Maintenant, multipliez ce avec des milliers de fichiers... o.O

    Et puis il y a des .htaccess. Qu'advient-il si votre code est distribué sur les sites où l'administrateur n'est pas si scrupuleux? Si vous comptez uniquement sur .htaccess pour sécuriser vos fichiers, vous allez aussi avoir besoin d'un) une copie de sauvegarde, b) une boîte de mouchoirs pour sécher vos larmes, c) un extincteur pour éteindre les flammes dans tous les hatemail de personnes à l'aide de votre code.

    Donc je sais que la question demande le plus "facile", mais je pense que cela demande est plus sur la défensive "codage".

    Ce que je suggère est:

    1. Avant l'un de vos scripts require('ifyoulieyougonnadie.php'); (pas include() et comme un remplacement pour defined or die)

    2. Dans ifyoulieyougonnadie.php, faire un peu de logique trucs - vérifier les différentes constantes, l'appel de script, localhost test et de tel - puis de mettre en œuvre votre die(), throw new Exception, 403, etc.

      Je suis entrain de créer ma propre structure avec deux points d'entrée principale index.php (Joomla), et un cadre ajaxrouter.php (mon cadre) - donc en fonction du point d'entrée, je check pour des choses différentes. Si la demande de ifyoulieyougonnadie.php ne vient pas de l'un de ces deux fichiers, je sais manigances sont en train d'être réalisée!

      Mais ce que si j'ajoute un nouveau point d'entrée? Pas de soucis. Je viens de changer ifyoulieyougonnadie.php et je suis triés, plus aucun "rechercher et remplacer". Hourra!

      Ce que si j'ai décidé de passer certains de mes scripts pour faire un cadre différent qui n'a pas les mêmes constantes defined()? ... Hourra! ^_^

    J'ai trouvé cette stratégie de développement beaucoup plus agréable et beaucoup moins:

    /**
 * Hmmm... why is my netbeans debugger only showing a blank white page 
 * for this script (that is being tested outside the framework)?
 * Later... I just don't understand why my code is not working...
 * Much later... There are no error messages or anything! 
 * Why is it not working!?!
 * I HATE PHP!!!
 * 
 * Scroll back to the top of my 100s of lines of code...
 * U_U
 *
 * Sorry PHP. I didn't mean what I said. I was just upset.
 */

 //defined('_JEXEC') or die();

 class perfectlyWorkingCode {}

 perfectlyWorkingCode::nowDoingStuffBecauseIRememberedToCommentOutTheDie();
    InformationsquelleAutor Just Plain High
  21. 0

    Faire quelque chose comme:

    <?php
if ($_SERVER['SCRIPT_FILENAME'] == '<path to php include file>') {
    header('HTTP/1.0 403 Forbidden');
    exit('Forbidden');
}
?>
    • Ce ne sera pas l'empêcher d'être chargé dans le navigateur.
    InformationsquelleAutor kmkaplan
  22. 0

    Vous pouvez utiliser la méthode ci-dessous, bien que, il a un défaut, car il peut être faux, sauf si vous pouvez ajouter une autre ligne de code assurez-vous que la demande ne vient que de votre serveur à l'aide de Javascript.
    Vous pouvez placer ce code dans la section de Corps de votre code HTML, donc l'erreur de shows.

    <?
if(!isset($_SERVER['HTTP_REQUEST'])) { include ('error_file.php'); }
else { ?>

    Placez votre autre code HTML ici

    <? } ?>

    Fin comme cela, de sorte que la sortie de l'erreur sera toujours montrer dans la section de corps, si c'est la façon dont vous voulez qu'il soit.

    • Je comprends que tous les HTTP_* serveur les en-têtes ne sont pas de confiance, alors vous feriez mieux de ne pas utiliser cette méthode.
    InformationsquelleAutor Charming Prince
  23. 0

    je suggère de ne pas utiliser de $_SERVER pour des raisons de sécurité .

    Vous pouvez utiliser une variable comme $root=true; en premier fichier inclus un autre.

    et l'utilisation isset($root) en début de deuxième fichier à inclure.

    InformationsquelleAutor Mohamad Rostami
  24. 0

    Ce que vous pouvez également faire est de protéger le mot de passe du répertoire et de garder tous vos scripts php de là, bien sûr, à l'exception de la index.php fichier, comme à l'époque d'inclure le mot de passe n'est pas nécessaire, car il sera requis uniquement pour l'accès http. ce qu'il va faire est de vous offrons également la possibilité d'accéder à vos scripts dans le cas où vous voulez tant que vous aurez le mot de passe pour accéder à ce répertoire. vous aurez besoin pour l'installation .fichier htaccess du répertoire et une .un fichier htpasswd pour authentifier l'utilisateur.

    bien, vous pouvez également utiliser l'une des solutions ci-dessus dans le cas où vous sentez que vous n'avez pas besoin d'accéder à ces fichiers, normalement, parce que vous pouvez toujours y accéder via cPanel etc.

    Espère que cette aide

    InformationsquelleAutor RohitG
  25. 0

    La façon la plus simple est de stocker vos comprend en dehors de la racine web. De cette façon, le serveur a accès à eux mais pas à l'extérieur de la machine. Le seul inconvénient est que vous devez être en mesure d'accéder à cette partie de votre serveur. L'avantage est qu'il ne nécessite aucune installation, configuration, ou un code supplémentaire/serveur de stress.

    InformationsquelleAutor
  26. 0
    <?php       
$url = 'http://' . $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'];
  if (false !== strpos($url,'.php')) {
      die ("Direct access not premitted");
  }
?>
    InformationsquelleAutor Matt Bettiol
  27. 0

    Je n'ai pas trouvé les suggestions avec .htaccess si bon, car il peut bloquer
    d'autres contenus dans ce dossier lesquelles vous pouvez autoriser l'utilisateur à accéder à,
    c'est ma solution:

    $currentFileInfo = pathinfo(__FILE__);
$requestInfo = pathinfo($_SERVER['REQUEST_URI']);
if($currentFileInfo['basename'] == $requestInfo['basename']){
    //direct access to file
}
    InformationsquelleAutor talsibony
  28. 0
    if ( ! defined('BASEPATH')) exit('No direct script access allowed');

    le travail se fera en douceur

    • Copier coller de CodeIgnitor. C'est cool, mais il ne fait pas faire quoi que ce soit sur son propre. Le BASEPATH const est situé dans un index.php fichier qui jette au bas de la structure de l'arbre. CI réécrit l'Url, donc il n'est pas nécessaire pour accéder aux scripts directement, de toute façon.
    • je sais qu'il n'est pas nécessaire, mais si quelqu'un essaie de le faire
    InformationsquelleAutor Varshaan
  29. 0

    Vous pouvez utiliser phpMyAdmin Style: 

    /**
 * block attempts to directly run this script
 */
if (getcwd() == dirname(__FILE__)) {
    die('Attack stopped');
}
    InformationsquelleAutor namco
  30. 0

    c'est ce que google utilise dans leur php exemples voir ici

    if (php_sapi_name() != 'cli') {
  throw new \Exception('This application must be run on the command line.');
}
    InformationsquelleAutor Toskan
  31. 0

    Le stockage de vos fichiers d'en-dehors de l'accessibles sur le web directory a été mentionné à quelques reprises, et est certainement une bonne stratégie lorsque cela est possible. Cependant, une autre option que je n'ai pas encore vu mentionné: s'assurer que vos fichiers d'en - ne contiennent pas de code exécutable. Si vos fichiers ne font que définir des fonctions et des classes, et n'ont pas de code autre que cela, ils vont tout simplement à produire une page blanche quand on y accède directement.

    Par tous les moyens de permettre un accès direct à ce fichier depuis le navigateur: il ne fera rien. Elle définit des fonctions, mais aucun d'entre eux sont appelés, de sorte qu'aucun d'entre eux exécutés.

    <?php

function a() {
    //function body
}

function b() {
    //function body
}

    La même chose s'applique pour les fichiers qui ne contiennent que des classes PHP, et rien d'autre.

    C'est toujours une bonne idée de garder vos fichiers en dehors du répertoire web si possible.

    • Vous pourriez accidentellement désactiver PHP, dans ce cas, votre serveur peut envoyer du contenu des fichiers PHP dans le navigateur, au lieu de l'exécution de PHP et d'envoyer le résultat. Cela pourrait entraîner dans votre code (y compris la base de données de mots de passe, clés API, etc.) la fuite.
    • Fichiers dans le répertoire web sont accroupis sur les Url que vous souhaitez utiliser pour votre application. Je travaille avec un CMS qui ne peut pas avoir une page appelée system, parce que ce serait en conflit avec un chemin d'accès utilisé pour le code. Je trouve cela ennuyeux.
    InformationsquelleAutor TRiG
  32. -1

    Mentionné plus tôt, la solution avec la version de PHP vérifier ajouté:

        $max_includes = version_compare(PHP_VERSION, '5', '<') ? 0 : 1;
    if (count(get_included_files()) <= $max_includes)
    {
        exit('Direct access is not allowed.');
    }
    • Je ne comprends pas vraiment comment cela peut empêcher l'accès direct
    InformationsquelleAutor Milo Wanrooij
  33. -2

    De redirection à partir de ce fichier vers une autre page. (comme index.html)

    .htaccess:

    Redirect 301 LINK_TO_YOUR_PHP LINK_TO_INDEX.HTML
    InformationsquelleAutor Alguem Meugla
  34. -7

    Vous pouvez également essayer de renommer le document que vous ne voulez pas les gens à être en mesure d'accéder. Vous pouvez la renommer 47d8498d3w.php par exemple. Faites juste quelque chose que la plupart des gens ne sera probablement pas le type de comme http-request. Si vous incluez le fichier avec SSI ou PHP, l'utilisateur ne sera pas en mesure de voir le nom du document, de toute façon.

    • Vous ne devez jamais utiliser cette méthode pour protéger vos fichiers contre les exécutions.
    • La sécurité par l'obscurité n'est pas la meilleure solution dans ce cas 🙂
    InformationsquelleAutor Andreas Carmblad