Mấy hôm ngồi viết lại phpbasic, vọc vọc htaccess 1 hồi TG chợt nghĩ ra 1 cách bảo mật qua url với htaccess nên post lên đây chia sẽ cùng anh em.  Cách này chỉ chống được các tấn công qua url.
Ví dụ:
nội dung tập tin .htaccess
RewriteEngine on
RewriteRule ^index.php?action=[^(a-zA-Z0-9)] index.php

File htaccess này có tác chuyển các url có dạng: index.php?action=<không phải ký tự a,b,.. hoặc số> về trang index.php

Ở đây thay vì dùng PHP để kiểm tra tính hợp lện của biến $_GET['action'] thì TG dùng htaccess, khi kiểm tra bằng PHP thì PHP lấy dữ liệu xuống rồi sử lý còn dùng htaccess  thì url được server kiểm tra trước sau đó mới đưa qua PHP

Và còn 1 chỗ mà ít khi anh em để ý, ví dụ trong 1 bộ code có rất nhiều file .php và các file này được include vào để chạy(config.php,db.php,...), nếu 1 file được gọi thì có thể không chạy cũng có thể báo lỗi đủ thứ và làm lộ nhiều thông tin về website, nên có thể dùng htaccess để không cho truy cập vào các file này

RewriteEngine on
RewriteRule ^(.*).php error.html

Bỏ tập tin access vào những thư mục file .php không được phép gọi trực tiếp, khi người dùng cố tình gọi vào file này thì nó tự động chuyển sang 1 file error.html (do bạn tự tạo)

Tóm lại, là có thể dùng htaccess để kiểm tra url theo đúng định dạng người code yêu cầu, tất cả các link không đúng định dạng có sẽ không được đưa đến PHP smile.

Mấy ngày mới phát hiện được nhiêu đó, anh em góp ý thêm nha.

(Ghi rõ nguồn "phpbasic.com" khi phát lại thông tin từ website này.)
Tác giả: TG

Tác giả:NguyÅn Minh Tân

Thêm ý kiến