.htaccess и deny from all

12.08.2012 admin

Многие веб-приложения используют .htaccess для ограничения доступа к определённым файлам и каталогам, которые могут содержать конфиденциальную информацию. Например, для того, чтобы ограничить доступ ко всем файлам в определенном каталоге вы можете создать .htaccess файл в этом каталоге, содержащем строку «deny from all». Во многих случаях это ошибка в безопасности. Причинами являются:

1. Для того, чтобы файлы .htaccess можно было использовать, необходимы соответствующие настройки главного конфигурационного файла (значение директивы AllowOverride должно быть установлено All). Не все хостинги поддерживают .htaccess.
2. Существует множество других популярных веб-сереверов. Например, nginx, который не поддерживает .htaccess.

А теперь рассмотрим два реальных примера недопустимости использования .htaccess.

Лог-файлы Zen Cart содержат параметры соединения с базой данных.