• 締切済み

includeファイルのアクセス権について

お世話になります。 ApacheでWeb上に公開をしているプログラムで、 そのプログラムにWeb上に公開をしていない所に あるファイルをincludeいたしました。 このincludeファイルのアクセス権のことなのですが、 基本的に、このファイルをincludeしましたWeb上の プログラムには、誰でもアクセスが出来るように 行いたいと思っております。 でも、Web上に公開をしていない所においています includeファイルには、直接、他のユーザーからは、 読み込みなどで、ファイルの中身が見られないよう に、しておきたいと思っています。 出来れば、.htaccessなどを使いまして、フォルダに 個別に設定を行えるようにしたいと思っているのですが、 よく分からずに困っています。 どのような方法で行えば、よろしいのでしょうか。 また、.htaccessを使うとしましたら、どのように、 使用をしまして設定を行えばよいのでしょうか。 よろしくお願いいたします。

みんなの回答

回答No.1

Web公開ディレクトリ外にファイルを置いているのであれば、基本的にファイルの中身を見られることはないと思うのですが。でなければ、Web公開ディレクトリ外には、おっしゃる include ファイル以上に重要なファイルが多数ありますし、メールの内容もパスワードもすべて漏れてしまいます。それよりも、Web上に公開しているプログラムでディレクトリ遡り攻撃等を受けない対策の方が重要かと思います。 それでも。よそのサイトから include される可能性を捨てきれないと思われるなら、includeファイルでSERVER_NAMEの正当性をチェックするとか。 また、実行される可能性を捨てきれないのであれば、.htaccessファイルに <Files - "\.(php|html|inc)$"> deny from all </Files> と記述すれば、phpやhtml、incなどの拡張子の付いたファイルへは直接アクセスできなくなります。(他の拡張子であれば( )内を書き換えます。)

関連するQ&A

専門家に質問してみよう