php-拒绝对目录的http访问,但允许内部服务器访问

2023-01-04 16:07:07

首先,我想从一开始就说我对PHP一无所知,因此我将不胜感激.
因此,我在godaddy托管了一个网站,在该网站上为客户上传文件.在朋友的帮助下,我使用用户名和密码制作了一个简单的登录系统.问题是,尽管没有输入用户名和密码就无法访问网站,但是可以通过在浏览器中直接输入完整链接来访问.jpg之类的文件.我希望它是通过用户网页访问文件的唯一方式.另外,我希望每个用户只能访问自己的文件,而不能访问其他文件.因此,这是我的代码,如果需要进行其他更改以避免黑客入侵,我将非常感谢您的投入.

用于输入用户名和密码的表单的index.php文件代码:

<form name="form1" method="post" action="checklogin.php">
            <div class="lefts">
            <p>Login:</p>
            <p>Password:</p>
            </div>

            <div>
            <input name="myusername" type="text" id="myusername" />
            <input name="mypassword" type="password" id="mypassword" />
            </div>

        <div><input type="image" name="Submit" id="submit" value="Login" src="images/submitOff.png" /></div>
</form>

checklogin.php :(如果输入正确的用户名和密码,它将转到用户名网页.如果未输入正确的用户名或密码,它将转到用户名网页

<?php
ob_start();
session_start();
$host="hostname"; // Host name
$username="username"; // Mysql username
$password="password"; // Mysql password
$db_name="dbnamey"; // Database name
$tbl_name="tablename"; // Table name

// Connect to server and select databse.
mysql_connect("$host", "$username", "$password")or die("cannot connect");
mysql_select_db("$db_name")or die("cannot select DB");

// Define $myusername and $mypassword
$myusername=$_POST['myusername'];
$mypassword=$_POST['mypassword'];

// To protect MySQL injection (more detail about MySQL injection)
$myusername = stripslashes($myusername);
$mypassword = stripslashes($mypassword);
$myusername = mysql_real_escape_string($myusername);
$mypassword = mysql_real_escape_string($mypassword);

$sql="SELECT username FROM $tbl_name WHERE username='$myusername' and password='$mypassword'";
$result=mysql_query($sql);

//returns false if no results returned
$row = mysql_fetch_row($result);
// If result matched $myusername and $mypassword, table row must be 1 row

if($row){
// Register $myusername, $mypassword and redirect to file
$_SESSION["myusername"] = $myusername;
$_SESSION["mypassword"] = $mypassword;
$myPage = $myusername.".php";
$_SESSION["myPage"] = $myPage;

header("location:".$myPage);
}
else {
header("location:index2.php");
}

ob_end_flush();
?>

username1.php :(包含文件的用户的webapge)

<?
session_start();
if(
//!session_is_registered(myusername)
    !isset($_SESSION["myusername"]) ||
    $_SESSION["myPage"] != basename($_SERVER['REQUEST_URI'])
){
header("location:index.php");
}
?>

<html>
//content that consist of links to the files
<a href="ready/username1/file.png">Png 1</a>
</html>

解决方法:

该脚本的安全性很差.您不是对密码进行哈希处理. header()允许您向HTTP响应标头添加元素.脚本仍会执行.,您并未阻止任何访问.此外,mysql_real_escape_string()可以完成addlashes()的所有工作,甚至更多.两者都只是告诉人们您不知道他们两个都做什么.您必须开始对ADODB或PDO库使用参数化的查询.

使用.htaccess文件来阻止访问

Order deny, allow
Deny from all
Allow from localhost
上一篇:在网址中删除.php扩展名


下一篇:php-.htaccess允许.html