我的 PHP 应用程序使用 404 文档来生成 HTML 文件,因此对同一个 HTML 文件的多次查询只会导致生成运行一次。
我想拦截对 HTML 文件的请求,以便用户需要建立 PHP 会话才能提取文件。
在最好的情况下,SESSION ID 将用于 URL 并强制它可以用作进一步的身份验证。例如,登录会给您一个 SessionID 并让您只能访问某些 HTML 文件。
我知道通过更改我的 cookie 我可以欺骗请求,但这没关系。
我该怎么做呢?
【问题讨论】:
标签: php html security .htaccess
将缓存文件放在 Web 根目录之外,但仍位于 PHP 可以访问它们的位置。
【讨论】:
您可以使用Apache module mod_rewrite 将.html URL 的请求重定向到PHP 脚本:
RewriteEngine on
RewriteRule \.html$ script.php [L]
然后,$_SERVER['REQUEST_URI'] 变量中提供了请求的 URI 路径和查询。
【讨论】:
SetEnvIf HTTP_COOKIE "PHPSESSID" let_me_in
<Directory /www/static/htmls>
Order Deny,Allow
Deny from all
Allow from env=let_me_in
</Directory>
当然,用户可以在他的浏览器中手动创建这样的 cookie(有一些扩展可以为 Firefox 做到这一点,您可以随时编辑浏览器的 cookie 存储)。
【讨论】:
这样的东西可以工作(我还没有测试过):
RewriteCond %{HTTP_COOKIE} PHPSESSID=([a-zA-Z0-9]+)
RewriteCond %{REQUEST_FILENAME} %{REQUEST_FILENAME}-%1.html
RewriteRule ^ %{REQUEST_FILENAME}-%1.html
假定您将"-$session_id.html" 附加到文件名($session_id 是 PHP 的会话 ID)。
它应该是安全的,其好处是文件由 Web 服务器直接提供,根本不需要调用 PHP。
【讨论】: