Php 无论如何，保护您的网站免受外部网站扫描

刚看到一个列出所有隐藏文件的网站。我使用了名为“hashtag/”的facebook目录，结果显示了来自

以下是进行此操作的网站：

所以我这里的主要问题是，有没有办法保护你的网站不被另一个显示秘密文件的网站扫描，比如：tokens.php、sessions.php、templates/、models/configs/…等等

这让我现在非常担心，就说我们正在制作一个包含重要文件和结构的网站，如果有人想查看我们在那个特定文件夹中保存的内容，有没有什么方法可以阻止这个网站或其他进行此操作的网站显示这些内容

---

我知道你可以通过.htaccess来实现这一点，但是你能给我举一个防止扫描多个文件夹的例子吗？

主要选项是

索引

，你可以在

.htaccess

中使用

Options -Indexes

第二个选项是阻塞

Deny

Order Deny,Allow
Deny from All

假设您有一个名为

inc

的文件夹，其中包含一些您不希望通过url访问的文件，但您希望其他PHP脚本能够包含这些文件，您可以将此规则放入

inc

文件夹中的

.htaccess

文件中

---

这里是一个链接，指向

.htaccess

规则上的一个重要资源。主要选项是

索引

，您可以在

.htaccess

中使用

Options -Indexes

第二个选项是阻塞

Deny

Order Deny,Allow
Deny from All

假设您有一个名为

inc

的文件夹，其中包含一些您不希望通过url访问的文件，但您希望其他PHP脚本能够包含这些文件，您可以将此规则放入

inc

文件夹中的

.htaccess

文件中

---

这里有一个链接，指向

.htaccess

rules

上的一个重要资源。一种常见的方法是将无法直接访问的文件放在web根目录下，这样就无法从web访问这些文件

例如，如果您的web根位于

var/www/html

，将源代码放在

html

之外，则无法从internet加载。然而，这需要您在框架中使用某种加载/请求文件的方式，但这在当今非常常见。看

您链接到的工具没有找到文件的“神奇”方法，因为使用Apache阻止/隐藏文件是绝对的，有关更多.htaccess详细信息，请参阅答案。该工具只需尝试一系列单词和常用文件名，并检查有效的200响应。除非您将文件移到web根目录之外，否则这是无法防御的

---

正如您所说，可以使用.htaccess拒绝对目录和文件的访问，也可以关闭文件列表，但是您应该注意，.htaccess设置从一个目录继承到另一个目录，这意味着如果您在根级别阻止所有访问，这将应用于它包含的每个文件和目录。

一种常见的方法是将不能直接访问的文件放在web根目录下，以便从web上无法访问这些文件

例如，如果您的web根位于

var/www/html

，将源代码放在

html

之外，则无法从internet加载。然而，这需要您在框架中使用某种加载/请求文件的方式，但这在当今非常常见。看

您链接到的工具没有找到文件的“神奇”方法，因为使用Apache阻止/隐藏文件是绝对的，有关更多.htaccess详细信息，请参阅答案。该工具只需尝试一系列单词和常用文件名，并检查有效的200响应。除非您将文件移到web根目录之外，否则这是无法防御的

---

正如您所说，可以使用.htaccess拒绝对目录和文件的访问，也可以关闭文件列表，但是您应该注意，.htaccess设置从一个目录继承到另一个目录，这意味着如果您在根级别阻止所有访问，这将应用于它包含的每个文件和目录。

当我尝试搜索facebook.com/hashtag/时，它没有找到任何文件或目录？您是否选择：获取文件扩展名：.php？？？是的，没有返回一个文件。呃，好的，我将发布一个图像，以向您和其他人证明这一点，只是一个sec@OptimusCrime以下是链接：1）2）3）4）5）6）7）当我尝试搜索facebook.com/hashtag/时，没有找到任何文件或目录？您是否选择了：获取文件扩展名：.php？？？是的，没有返回任何文件。呃，好的，我将发布一张图片，以向您和其他人证明这一点，只是一个sec@OptimusCrime以下是链接：1）2）3）4）5）6）7）谢谢你的时间@cmorrissey:）这帮了大忙，当有人在不该看到的情况下看到隐藏的结构时，这很可怕：p谢谢你的时间@cmorrissey:）这帮了大忙，当有人在不该看到的情况下看到隐藏的结构时，这很可怕：P