Как ограничить доступ к файлу php?

@abc_privet · Регистрация: 17.03.2012

Студворк — интернет-сервис помощи студентам

файл main.php

PHP
1
2
3
4
...
include 'logo.php';
 
...

Как разрешить показать http://www..../main.php
и на попытку http://www..../logo.php
не выводить ничего?

@OnYourLips · 09.07.2012, 03:16

логика приложения делится на следующие части:
1. Сначала работает роутер(фронт контроллер). Он смотрт на входящие параметры и определяет, какой обработчик будет действовать.
Т.е. если он увидит адрес "/posts/create" и содержимое {name: 'foo', content: 'bar'}, то вызовет действие create обработчика posts, которому передаст параметры {name: 'foo', content: 'bar'}.
Связь параметров с действием ты задаешь сам.
2. Обработчик(контроллер). Его задача - взять данные от пользователя и передать их логике, после чего вызвать отображение. Больше ничего в нем быть не должно, только работа с HTTP.
Грубо говоря тут несколько строк, хотя новички любят пихать сюда всю логику, не выделяя е в отдельный слой.
Пример кода:

Code
1
2
новости = Новости.сортируяПоДате.страница(параметры[номер_страницы])
ВызватьВид(новости, "шаблон_новостей")

Т.е. я не шутил, когда говорил про пару строк, я имел ввиду это буквально: 1-10 строк.
3. Логика(модель). Этот код ничего не знает о запросах, куках и т.д., ведь этим занимается обработчик. Но данный код выполняет всю бизнес-логику приложения. Вся работа с файлами, базой, алгоритмами тут.
4. Отображение(вид). Занимается отображением данных, полученных их контроллера. Естественно, может содержать логику отображения.

Данная схема называется MVC. Это шаблон проектирования, и смысл его именно в разделении логики на 3-4 части.

Весь PHP код кроме index.php лежит выше document root вебсервера.

@abc_privet · 09.07.2012, 13:33 **[ТС]**

Сообщение от OnYourLips

логика приложения делится на следующие части:
1. Сначала работает роутер(фронт контроллер). Он смотрт на входящие параметры и определяет, какой обработчик будет действовать.
Т.е. если он увидит адрес "/posts/create" и содержимое {name: 'foo', content: 'bar'}, то вызовет действие create обработчика posts, которому передаст параметры {name: 'foo', content: 'bar'}.
Связь параметров с действием ты задаешь сам.
2. Обработчик(контроллер). Его задача - взять данные от пользователя и передать их логике, после чего вызвать отображение. Больше ничего в нем быть не должно, только работа с HTTP.
Грубо говоря тут несколько строк, хотя новички любят пихать сюда всю логику, не выделяя е в отдельный слой.
Пример кода:

Code
1
2
новости = Новости.сортируяПоДате.страница(параметры[номер_страницы])
ВызватьВид(новости, "шаблон_новостей")

Т.е. я не шутил, когда говорил про пару строк, я имел ввиду это буквально: 1-10 строк.
3. Логика(модель). Этот код ничего не знает о запросах, куках и т.д., ведь этим занимается обработчик. Но данный код выполняет всю бизнес-логику приложения. Вся работа с файлами, базой, алгоритмами тут.
4. Отображение(вид). Занимается отображением данных, полученных их контроллера. Естественно, может содержать логику отображения.

Данная схема называется MVC. Это шаблон проектирования, и смысл его именно в разделении логики на 3-4 части.

Весь PHP код кроме index.php лежит выше document root вебсервера.

Я не очень понял. Конкретный вопрос: index.php in WWW, login.php in WWW/widgets
Как запретить прямой просмотр файлов из widgets?

KOPOJI · 09.07.2012, 13:42

т.е. вы предлагаете человеку, только начинающему разбираться с php - написать MVC на ООП?)

crautcher · 09.07.2012, 13:42

Сообщение от abc_privet

Как запретить прямой просмотр файлов из widgets?

довольно популярен прием с константой

PHP
1
2
3
4
5
#main file :
define('some_constant' , true);
include "ur/file.php";
#ur/file.php:
if (!defined('some_constant')) exit(0);

KOPOJI · 09.07.2012, 13:47

Сообщение от abc_privet

Как запретить прямой просмотр файлов из widgets?

можете сделать так:
в главных скриптах которые подключают эти "подскрипты" - пишите что нить типа

PHP
1
define("__ACCESS",1);

а в других скриптах из этой папки проверяете как ввели этот адрес

PHP
1
if(defined('__ACCESS')) { /*пришли с другого скрипта */ } else {/*вручную забили*/ }

Добавлено через 27 секунд

Не по теме:

опоздал слегка :)

@OnYourLips · 09.07.2012, 14:59

т.е. вы предлагаете человеку, только начинающему разбираться с php - написать MVC на ООП?)

ООП не обязательно. С ним конечно проще, но можно и без него.

Я говорил про разделение логики на 4 куска. И кусок "роутер" решает данную проблему.

Решение define("__ACCESS",1); просто уродливое. Зачем делать проверку внутри файлов, если можно поместить их выше докрута?

@r36 · 09.07.2012, 15:07

Запрет по User-Agent через htaccess:

Code
1
2
3
4
SetEnvIfNoCase User-Agent "^Wget" bot
Order Allow,Deny
Allow from all
Deny from env=bot

Запрет на определённый файл:

Code
1
2
3
4
<Files includ.php>
order allow,deny
deny from all
</Files>

crautcher · 09.07.2012, 15:08

Сообщение от OnYourLips

Решение define("__ACCESS",1); просто уродливое.

многие современные cms используют такую систему , ничего уродливого , логичное решение

@OnYourLips · 09.07.2012, 15:34

многие современные cms используют такую систему

Только коробочные решения.
Причина простая: систему настраивает пользователь, который ничего не знает о document root, и думает что вебсервер - это сорт пива.
Но решение, которое делает КУЧУ лишних действий, которые можно не делать - не логичное.

@abc_privet · 09.07.2012, 20:19 **[ТС]**

Сообщение от OnYourLips

ООП не обязательно. С ним конечно проще, но можно и без него.

Я говорил про разделение логики на 4 куска. И кусок "роутер" решает данную проблему.

Решение define("__ACCESS",1); просто уродливое. Зачем делать проверку внутри файлов, если можно поместить их выше докрута?

Спасибо! Я начинающий и к сожалению много в Вашем ответе для меня пока сложно.

@OnYourLips · 09.07.2012, 20:33

Ты навечно останешься начинающим, если не будешь стараться что-то улучшить.

KOPOJI · 09.07.2012, 20:39

Не по теме:

Сообщение от OnYourLips

Ты навечно останешься начинающим, если не будешь стараться что-то улучшить.

я не совсем согласен. я согласен, что если не стараться что то улучшить - прогресса не будет. но, имхо, не стоит лезть с места в карьер, все следует делать постепенно. выше головы не прыгнешь - а если начинать с простого - и сразу прыгнуть на сложное, то будет именно попытка прыжка выше головы. и в итоге, что то сделал, ничего не работает (а если и работает - то хрен его знает почему и как). сначала надо разобраться, и понять как это устроено, сами принципы, и только потом уже пытаться что то (опять же, имхо)

@OnYourLips · 09.07.2012, 21:38

KOPOJI, прости, но человек на форуме давно, но не осилил пхп даже на уровне обычной книжки, т.к. не хочет это делать.

KOPOJI · 09.07.2012, 21:43

Не по теме:

Сообщение от OnYourLips

KOPOJI, прости, но человек на форуме давно, но не осилил пхп даже на уровне обычной книжки, т.к. не хочет это делать.

да я то что, я высказал свою точку зрения только :) и кстати, не так давно -меньше 4 месяцев

abc_privet
Форумчанин

Регистрация: 17.03.2012
Сообщений: 285
Репутация: 4 (4)

@abc_privet · 10.07.2012, 01:00 **[ТС]**

Сообщение от OnYourLips

KOPOJI, прости, но человек на форуме давно, но не осилил пхп даже на уровне обычной книжки, т.к. не хочет это делать.

Какой книжки ? Так же интересно прочитать как "роутер" решает данную проблему и что такое "роутер".

@OnYourLips · 10.07.2012, 01:11

abc_privet, да блин любой нормальной книжки по PHP, по которой и с ООП разберешься, и в которой будет написано, как удобно сделать веб-приложение.
Свое же время не экономишь.

Так же интересно прочитать как "роутер" решает данную проблему

Роутер - это часть сайта, которая по запросу смотрит, какой обработчик должен его обработать, и ему передает.
Допустим если адрес '/user/show/12', то она передает работу действию Users::show.
Итого мы имеем одну точку входа на весь сайт(index.php). Остальные PHP-файлы мы пихаем туда, куда нельзя попасть с веба.
Естественно никаких проверки в остальных файлах не будут нужны, т.к. их нельзя будет вызвать с веба.

@abc_privet · 12.07.2012, 00:57 **[ТС]**

А как такой вариант:

PHP
1
if(basename($_SERVER['SCRIPT_NAME']) == 'logo.php') exit();

@OnYourLips · 12.07.2012, 02:11

abc_privet, гуано.
Убери файлы просто туда, куда с веба нельзя обратиться.
Зачем же извращаться?

@r36 · 12.07.2012, 09:25

Зачем извращаться с php если прописал htaccess <Files includ.php> (пример выше) после этого можно будет читать со стороны сервера этот файл , инклудить и тд. открывать файл из www будет запрещено.

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	09.07.2012, 13:42
	т.е. вы предлагаете человеку, только начинающему разбираться с php - написать MVC на ООП?) 1

@OnYourLips 508 / 358 / 13 Регистрация: 12.03.2012 Сообщений: 1,896
	09.07.2012, 20:33
	Ты навечно останешься начинающим, если не будешь стараться что-то улучшить. 1

@OnYourLips 508 / 358 / 13 Регистрация: 12.03.2012 Сообщений: 1,896
	09.07.2012, 21:38
	KOPOJI, прости, но человек на форуме давно, но не осилил пхп даже на уровне обычной книжки, т.к. не хочет это делать. 1

@OnYourLips 508 / 358 / 13 Регистрация: 12.03.2012 Сообщений: 1,896
	12.07.2012, 02:11
	abc_privet, гуано. Убери файлы просто туда, куда с веба нельзя обратиться. Зачем же извращаться? 0

@r36 239 / 236 / 43 Регистрация: 16.03.2011 Сообщений: 750
	12.07.2012, 09:25
	Зачем извращаться с php если прописал htaccess <Files includ.php> (пример выше) после этого можно будет читать со стороны сервера этот файл , инклудить и тд. открывать файл из www будет запрещено. 1