prévenir directement l'url d'accès au fichier php

J'ai un fichier php dire "check.php" dans mon site web et il est exécuté quand le formulaire est soumis.

dire que mon site est "myweb.com" et le fichier php est dans un répertoire "PHP"

Je veux éviter url directe de l'accès à l' "check.php" fichier c'est à dire si quelqu'un tape l'url "myweb.com/PHP/check.php" ,puis le fichier php ne doit pas être exécuté et il doit retourner un message d'erreur à la place.

J'ai essayé d'empêcher l'accès par la définition d'une règle .htaccess ,mais il bloque le php, même quand j'essaie d'envoyer le formulaire.

.htaccess à la règle :

RewriteEngine on 
RewriteCond %{THE_REQUEST} \.php[\ /?].*HTTP/ 
(.*)\.php$ /index.html [L]

Est-il possible de le faire ?

OriginalL'auteur It Assistors | 2015-11-30

  1. 17

    Vous pouvez le faire avec PHP

    <?php
    /* at the top of 'check.php' */
    if ( $_SERVER['REQUEST_METHOD']=='GET' && realpath(__FILE__) == realpath( $_SERVER['SCRIPT_FILENAME'] ) ) {
        /* 
           Up to you which header to send, some prefer 404 even if 
           the files does exist for security
        */
        header( 'HTTP/1.0 403 Forbidden', TRUE, 403 );

        /* choose the appropriate page to redirect users */
        die( header( 'location: /error.php' ) );

    }
?>
    Je l'ai ajouté à mon fichier php, mais c'est en la redirigeant vers la page d'erreur, même à la forme post d'action. Est-il de toute façon à exclure la méthode post
    désolé à ce sujet - j'espère que ça ferait l'affaire. Toutefois, @Starkeen de la méthode d'utilisation de la .htaccess fichier est probablement mieux ~ bien que l'utilisation de PHP ne permet pas de faire d'autres choses avant de rediriger l'utilisateur - ie: journal le coup de la db etc
    votre méthode a fonctionné comme un charme. J'ai juste appliqué un peu d'éditer au lieu de $_SERVER['REQ......] == 'GET' que j'ai utilisé .... != 'POST' comme je l'ai utiliser la méthode post et il devrait afficher le message d'erreur uniquement si la demande n'est pas 'post' je Vous Remercie...

    OriginalL'auteur RamRaider

  2. 4

    Mettre ce code en haut de la check.php:

    if(!isset($_SERVER['HTTP_REFERER'])){
    //redirect them to your desired location
    header('location:../index.php');
    exit;
}

    Si l'utilisateur l'accès check.php par tapez directement l'URL, il va les rediriger vers l'emplacement de votre choix.

    Je ne recommanderais pas cela. Certains navigateurs (comme Firefox) autoriser les utilisateurs à supprimer l'en-tête Referer pour des raisons de confidentialité.

    OriginalL'auteur Westly Tanbri

  3. 3

    Essayer dans la Racine/.htaccess :

    RewriteEngine on


RewriteCond %{REQUEST_METHOD} !^POST$
RewriteRule ^php/check.php$ - [NC,R=404,L]

    Ce sera le retour de 404 not found si check.php n'est pas accessible par la méthode post de formulaire.

    le " php " dans l' ^php/check.php$ désigne le répertoire PHP ou le type de fichier?
    Ouais vous le supprimer de l'assigner à un autre fichier, ou tout simplement le type de la racine entre le ^ et le $.
    Ce n'est pas une solution en tant que méthode post peut être facilement usurpée à côté client.

    OriginalL'auteur starkeen

  4. 1

    J'ai essayé la réponse sélectionnée mais j'ai rencontré quelques problèmes de mise en œuvre, surtout si je voulais les valeurs de retour des fonctions à l'intérieur du fichier PHP à l'aide de GET avec l'Ajax.

    Après de faire assez d'une recherche poussée sur les autres solutions (et un peu de tests de mon propre), je suis venu avec le code suivant:

    <?php
$currentPage = (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] === 'on' ? "https" : "http") . "://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]";

if ($_SERVER['REQUEST_METHOD'] == "GET" && strcmp(basename($currentPage), basename(__FILE__)) == 0)
{
    http_response_code(404);
    include('myCustom404.php'); //provide your own 404 error page
    die(); /* remove this if you want to execute the rest of
              the code inside the file before redirecting. */
}
?>

    J'ai trouvé que le code ci-dessus a fonctionné comme je le voulais et je ne pense pas qu'il aurait eu des problèmes avec plusieurs navigateur, comme les autres, la réponse a été signalé à avoir. Aussi, je ne pense pas que cela aurait des problèmes de sécurité, mais je peux me tromper (s'il vous plaît dites-moi si je suis (et pourquoi), je suis relativement nouveau à la programmation web.

    Juste ajouter que le code en haut de chaque fichier que vous souhaitez bloquer directement l'URL d'accès (avant tout, et même exige, comprend et session_starts) et vous êtes bon pour aller.

    OriginalL'auteur Martin Koch

  5. 1

    c'est ce que google utilise dans leur php exemples 

    if (php_sapi_name() != 'cli') {
  throw new \Exception('This application must be run on the command line.');
}

    OriginalL'auteur Toskan

  6. 0

    Essayer celui-là aussi. Passé dans le haut de check.php 

    <?php debug_backtrace() || die ("<h2>Access Denied!</h2> This file is protected and not available to public."); ?>

    "Accès Refusé" s'est présenté lorsque le fichier est accessible directement dans l'url

    OriginalL'auteur icynets