我想让我的txt文件安全

Question

当前状态。我必须为我的foobaa.txt设置606。

我写了一个php代码，可以读写foobaa.txt，

我想把foobaa.txt的权限设为600。

但是当我测试600时，PHP代码不能读写foobaa.txt。

所以我改成了606the foobaa.txt，这样我的PHP代码就可以读写foobaa.txt了。

这是有问题的，因为

当有人把

ttp://blabla.foobaa.com/foobaa.txt

然后他就可以看到foobaa.txt的内容了。

这是安全漏洞。

所以我想让600作为foobaa.txt的权限，但是如果我这样做了，那么php代码就不能读写foobaa.txt了。

我认为管理员可以修改一些apatch设置，因为我们可以将txt文件的权限设置为600。

或者我必须做一些其他的事情？

就像.htaccess之类的。

Answer 1

您的PHP代码作为web服务器运行，而不是作为用户通过SSH登录帐户并更改权限。因此，如果文本文件可由脚本读取，则它也可由服务器读取。您可能希望通过几种方法中的一种来控制外部用户对文件的访问。

1. 将文件放在DocumentRoot之外，以便脚本可以访问它，但不可能通过HTTP请求。
2. 将文件放在一个包含.htaccess文件的目录中，该文件简单地读取为Deny From All。您也可以单独保护文件，但很可能会有其他相关的文件需要保密。您可以将它们放在同一目录中。

Answer 2

您可以通过.htaccess限制访问：

<Files foobaa.txt>
    Deny from all
</Files>

或者类似的东西。但这并不完美..。最好是将文件移到public_html (或等效的)文件夹之外。