我正在开发一个网站,让学生进行数学练习。总共有大约5000个练习存储在55个XML文件中。XML文件存储在网站根目录的目录中。XML文件由PHP访问。我想让学生无法访问 XML 文件。我在XML文件的目录中制作了一个.htaccess文件:
deny from all
访问XML文件的PHP代码:
if(isset($_GET['m']) && isset($_GET['n']) && isset($_GET['o']))
{
if(is_numeric($_GET['m'])==false || is_numeric($_GET['n'])==false || is_numeric($_GET['o'])==false)
//if the variables are not numbers
{
header('location: /aanpassen');
exit();
}
if($_GET['m']<1 || $_GET['m']>11)
{
header('location: /aanpassen');
exit();
}
if($_GET['n']<1 || $_GET['n']>5)
{
header('location: /aanpassen');
exit();
}
$module = $_GET['m'];
$niveau = $_GET['n'];
$nummer = $_GET['o'] - 1;
//Get the right XML-file
$urlxml="../xml/module".$module."/niveau".$niveau."/opgave.xml";
$xml=simplexml_load_file($urlxml);
$opgave = $xml->opgave[$nummer];
if(!isset($opgave))//Als de opgave niet bestaat.
{
header('location: /aanpassen');
exit();
}
//The rest of the code
}
我尝试使用Javascript访问该文件(如果我是学生),但它返回了它被禁止。
是否仍然存在安全漏洞?
保护 XML 文件的最佳方法是什么?
目前它是安全的。但是将目录移到文档根目录之外会更好。可以使用全局选项禁用".htaccess"(例如,提高性能)。在这种情况下,您的文件将再次可访问。
确保应用程序本身不能编写 .htaccess。