Как задать список разрешенных PHP-файлов?

Question

[Максим Алёхин]

Как в .htaccess задать список допустимых для запуска файлов php?
Все остальные должны блокироваться, не запускаться или редиректится.

Пример, разрешить:
/index.php, /chat/index.php, /forum/index.php, /admin/index.php (и те которые через include)

Любые другие - запретить.

Папок десятки тысяч, в каждой папке не предлагайте пожалуйста.

Answer 1

[Александр Аблизин]

Это .htaccess от October CMS возможно укажет направление

<IfModule mod_rewrite.c>

    <IfModule mod_negotiation.c>
        Options -MultiViews
    </IfModule>

    RewriteEngine On

    ##
    ## You may need to uncomment the following line for some hosting environments,
    ## if you have installed to a subdirectory, enter the name here also.
    ##
    # RewriteBase /

    ##
    ## Black list protected files
    ##
    RewriteRule ^themes/.*/(layouts|pages|partials)/.*.htm index.php [L,NC]
    RewriteRule ^bootstrap/.* index.php [L,NC]
    RewriteRule ^config/.* index.php [L,NC]
    RewriteRule ^vendor/.* index.php [L,NC]
    RewriteRule ^storage/cms/.* index.php [L,NC]
    RewriteRule ^storage/logs/.* index.php [L,NC]
    RewriteRule ^storage/framework/.* index.php [L,NC]
    RewriteRule ^storage/temp/protected/.* index.php [L,NC]
    RewriteRule ^storage/app/uploads/protected/.* index.php [L,NC]

    ##
    ## White listed folders and files
    ##
    RewriteCond %{REQUEST_FILENAME} -f
    RewriteCond %{REQUEST_URI} !\.js$
    RewriteCond %{REQUEST_URI} !\.map$
    RewriteCond %{REQUEST_URI} !\.ico$
    RewriteCond %{REQUEST_URI} !\.jpg$
    RewriteCond %{REQUEST_URI} !\.jpeg$
    RewriteCond %{REQUEST_URI} !\.bmp$
    RewriteCond %{REQUEST_URI} !\.png$
    RewriteCond %{REQUEST_URI} !\.gif$
    RewriteCond %{REQUEST_URI} !\.svg$
    RewriteCond %{REQUEST_URI} !\.css$
    RewriteCond %{REQUEST_URI} !\.less$
    RewriteCond %{REQUEST_URI} !\.scss$
    RewriteCond %{REQUEST_URI} !\.pdf$
    RewriteCond %{REQUEST_URI} !\.swf$
    RewriteCond %{REQUEST_URI} !\.txt$
    RewriteCond %{REQUEST_URI} !\.xml$
    RewriteCond %{REQUEST_URI} !\.xls$
    RewriteCond %{REQUEST_URI} !\.eot$
    RewriteCond %{REQUEST_URI} !\.woff$
    RewriteCond %{REQUEST_URI} !\.woff2$
    RewriteCond %{REQUEST_URI} !\.ttf$
    RewriteCond %{REQUEST_URI} !\.flv$
    RewriteCond %{REQUEST_URI} !\.wmv$
    RewriteCond %{REQUEST_URI} !\.mp3$
    RewriteCond %{REQUEST_URI} !\.ogg$
    RewriteCond %{REQUEST_URI} !\.wav$
    RewriteCond %{REQUEST_URI} !\.avi$
    RewriteCond %{REQUEST_URI} !\.mov$
    RewriteCond %{REQUEST_URI} !\.mp4$
    RewriteCond %{REQUEST_URI} !\.mpeg$
    RewriteCond %{REQUEST_URI} !\.webm$
    RewriteCond %{REQUEST_URI} !\.mkv$
    RewriteCond %{REQUEST_URI} !\.rar$
    RewriteCond %{REQUEST_URI} !\.zip$
    RewriteCond %{REQUEST_URI} !docs/.*
    RewriteCond %{REQUEST_URI} !themes/.*
    RewriteRule ^ index.php [L,NC]

    ##
    ## Standard routes
    ##
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteRule ^ index.php [L]

</IfModule>

Comments

[Максим Алёхин]

Способ предлагает перечислять запрещенные файлы или каталоги, а злоумышленник может загрузить в любую директорию свой файл, поэтому нужно именно "запретить все кроме списка". Но спасибо, все же лучше чем ничего.

[Александр Аблизин]

Максим: Тут как раз белый список, а не список запрещённых, восклицательный знак же стоит
Например: RewriteCond %{REQUEST_URI} !\.zip$ Файлы кроме тех что с расширением .zip

[Максим Алёхин]

Да, действительно. То что надо.
Финальный вариант:
RewriteCond %{REQUEST_FILENAME} .*.php$
RewriteCond %{REQUEST_URI} !/$
RewriteCond %{REQUEST_URI} !/chat/index.php$
RewriteCond %{REQUEST_URI} !/forum/index.php$
и другие файлы
RewriteRule ^ index.php [L,NC]

Answer 2

[devian3000]

В каждой папке. Путь будет в GET параметре PATH.

RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ /index.php?path=$1 [NC,L,QSA]

Вот ссылка на StackOverflow первый же запрос в гугле.
stackoverflow.com/questions/18406156/redirect-all-...

Comments

[Максим Алёхин]

Папок тысячи, в каждую я не залезу.

[devian3000]

Тогда последняя строка примерно такая.

RewriteRule ^(.*)\/(.*)$ /$1/index.php?path=$2 [NC,L,QSA]