- What is .htaccess file in PHP ?
- Создание и настройка .htaccess
- Создание и редактирование .htaccess
- Примеры настроек
- Перенаправления
- Параметры PHP
- Управление доступом к сайту
- Защита сайта или директории паролем. Базовая аутентификация
- Блокировка запросов по User-Agent
- Ограничения по видам запросов
- Индексная страница по умолчанию
- Собственные страницы ошибок
- Кодировка
- Отображение листинга (содержимого директории)
What is .htaccess file in PHP ?
The .htaccess (Hypertext Access) file is an Apache distributed server configuration file. You can use the .htaccess file to set server configurations for a specific directory. This directory can be the root directory of your website or another subdirectory where the .htaccess file is created in order to enable extra features for that subdirectory.
You can use the .htaccess file to modify various configurations and thus make changes to your website. These changes include authorization, error handling, redirects for specific URLs, user permissions, etc. Like any other Apache configuration file, the .htaccess file is read from top to bottom. That is, the above configurations are performed before those below.
Common uses of the .htaccess file:
1. Change the default start page: Suppose you want to change your home page (e.g. index.html) with some other HTML page (e.g. home.html) while keeping the index.html file intact, you can change the default landing page by adding the code below in your .htaccess file.
In the configuration file, it is also possible to add more than one file. Here in this example, first, the server will check for index.html, if it does not find a file with that name, it continues to home.htm and so on.
DirectoryIndex index.html home.html config.php
2. Block a specific IP or range of IPs: You can also block a specific IP address or a range of IP addresses from visiting your website. To do this, you need to add these lines to your .htaccess file:
- Denying specific IP: By using this template you can block any desired IP address
Order Deny,Allow Deny from 192.206.221.140 (Here 192.206.221.140 is a specific IPv4 Address)
Order Deny,Allow Deny from 185.120.120.120 Deny from 192.190.190.190
SetEnvIfNoCase Referer "redirectingdomain.com" bad_referer Order Allow,Deny Allow from ALL Deny from env=bad_referer
Order Allow,Deny Deny from 192.192.*.* Allow from all
Note: To restrict access from certain countries, you must obtain the IP address ranges assigned to that particular country. It is important to note that this method is not 100% efficient as the IP address assignments may change and the IP address ranges may overlap. Even so, this method blocks most of the traffic from the specified countries.
3. 301 Permanent Redirect: 301 is an HTTP response code to your web browser from the webserver. A 301 status code indicates that the requested resources have been permanently moved to a new URL. 301 redirects are very useful when a page is no longer relevant or the page is deleted. You can use the below code to apply 301 redirects.
RewriteEngine on RewriteCond % ^domain1.com [NC,OR] RewriteCond % ^www.domain1.com [NC] RewriteRule ^(.*)$ http://domain2.com/$1 [L,R=301,NC]
Or you can simply use the code below
Redirect 301 / http://domain.com
4. WWW to non-WWW and non-WWW to WWW: As search engines consider “www” and “non-www” URLs two different things, so redirecting requests from non-preferred domains becomes very important. Let’s take an example of “www.example.com”
- To make the 301 redirects from www to non-www you have to add the following code into your .htaccess file:
RewriteEngine on RewriteCond % ^geeksforgeeks.com [NC] RewriteRule ^(.*)$ http://www.geeksforgeeks.com/$1 [L,R=301,NC]
RewriteEngine on RewriteCond % ^www.geeksforgeeks.com [NC] RewriteRule ^(.*)$ http://geeksforgeeks.com/$1 [L,R=301,NC]
5. Redirect from HTTP to HTTPS:
Why redirect traffic from HTTP to HTTPS?
There are two main reasons, one is Security because it ensures that the user data is encrypted from the user browser to the webserver and the second reason is the SEO(Search Engine Optimization) because HTTPS websites have higher advantages of ranking over HTTP websites. If you want to transfer the entire traffic of your website from HTTP to HTTPS, that you will need to add the following to your .htaccess file.
RewriteEngine On RewriteCond % !=on RewriteRule ^(.*)$ https://%% [L,R=301,NE] Header always set Content-Security-Policy "upgrade-insecure-requests;"RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond % !-f RewriteCond % !-d RewriteRule . /index.php [L]
6. Customize your Error Page: If you want to customize your 404 error page, you can define your own custom error page in the .htaccess file. Just copy the below text in your .htaccess file.
# Example 1: redirect errors to html files ErrorDocument 404 /404.html # Example 2: redirect errors to PHP file ErrorDocument 404 /error.php?q=404
7. Authenticated folder: For authentication purposes, you can protect a directory of an application by adding the code given below in your .htaccess file. Once the .htaccess file is updated your directory will require a username and password to access it.
AuthName "Your Authenticated Folder" AuthUserFile /path/.htpasswd AuthType Basic require valid-user
Here the first line of the code tells the Apache webserver that the name of the password-protected directory is “Your Authenticated Folder”. Second-line tells the path of that folder and the next line determines the type of authentication, in this example, we are using HTTP Basic authentication. Finally, the last line says we need valid credentials.
Создание и настройка .htaccess
.htaccess — это конфигурационный файл веб-сервера Apache, который позволяет задавать различные настройки для работы веб-сервера, применяемые для конкретных каталогов пользователя.
Параметры, указанные в .htaccess , не затрагивают настройки главного конфигурационного файла Apache и имеют силу только для каталога, в котором этот файл размещен, и его подкаталогов. Для подкаталогов также можно создавать дополнительные .htaccess -файлы; при этом необходимо учитывать, что настройки .htaccess , заданные в подкаталоге, переопределят настройки, назначенные для него в файле .htaccess , размещенном на уровне выше.
Настройки в .htaccess задаются различными директивами, которые далее обрабатываются и выполняются веб-сервером. С помощью .htaccess можно настраивать перенаправления , управлять опциями PHP , устанавливать разрешения и права доступа к файлам, задавать собственные страницы ошибок и выполнять множество других действий.
Создание и редактирование .htaccess
Создать файл настроек .htaccess вы можете при помощи файлового менеджера панели управления аккаунтом.
- Перейдите в раздел « Файловый менеджер » панели управления.
- Выберите пункт меню «Файл» — «Новый файл».
- Выберите из списка расширений .htaccess .
- Нажмите кнопку «Создать файл».
Возникновение ошибки «Имя уже используется» означает, что данный файл уже создан в текущей директории.
Для редактирования файла в файловом менеджере перейдите в директорию с данным файлом, выделите его кликом левой кнопки мыши и выберите пункт меню «Файл» — «Редактировать».
В открывшейся форме редактирования можно внести необходимые изменения в файл конфигурации: добавить или удалить директивы. Также можно закомментировать неиспользуемые настройки, для этого необходимо добавить в начале строки символ # . Настройки, указанные в таких строках, учитываться не будут.
Вы также можете редактировать .htaccess во внешних редакторах, но обратите внимание, что текстовые редакторы Windows (например, «Блокнот») при сохранении любых документов с кодировкой UTF-8 добавляют в них метки порядков байтов юникода — BOM-сигнатуры. Файлы с такой сигнатурой некорректно обрабатываются веб-сервером, поэтому мы рекомендуем редактировать .htaccess напрямую в «Файловом менеджере» или через специальный редактор «Notepad++».
Примеры настроек
Перенаправления
Настройка редиректов описана в отдельной статье: Типовые перенаправления .
Параметры PHP
Настройка опций PHP через .htaccess описана в отдельной статье: Настройка параметров PHP .
Управление доступом к сайту
Разрешить или ограничить доступ к сайту для определенных IPv4-адресов можно с помощью директив Order Allow,Deny или Require . В новых версиях Apache, начиная с 2.4, которая используется на наших хостинговых серверах, рекомендуется использовать именно Require .
Разрешить доступ конкретным IP (для остальных доступ запрещен):
Require ip 1.1.1.1
Require ip 2.2.2.2
Несколько IP-адресов могут указываться через пробел или отдельными директивами, каждая в новой строке.
Запретить доступ конкретным IP (для остальных доступ разрешен). Для работы запрещающих директивы, их необходимо заключать в блоки :
Require all granted
Require not ip 1.1.1.1
При использовании Allow,Deny :
Разрешить доступ всем, кроме конкретного IP:
Order Allow,Deny
Allow from all
Deny from 1.1.1.1
Запретить доступ всем, кроме конкретного IP:
Order Deny,Allow
Deny from all
Allow from 1.1.1.1
Запретить доступ для всех:
Аналогичным образом можно настроить доступ к конкретным файлам, включив эти директивы в блоки , например:
Require all denied
Require ip 1.1.1.1
Order Deny,Allow
Deny from all
Allow from 1.1.1.1
Защита сайта или директории паролем. Базовая аутентификация
Если требуется защитить сайт или конкретную папку сайта паролем, можно воспользоваться базовой аутентификацией, которая работает на уровне веб-сервера Apache и настраивается также с помощью файла .htaccess .
- В первую очередь задайте логин и пароль, которые будут использоваться для входа. Для этого подключитесь к аккаунту по SSH и выполните команду ниже, указав нужные вам значения:
htpasswd -bc ~/.htpasswd логин пароль
- После выполнения команды в корневом каталоге вашего аккаунта будет создан файл .htpasswd , содержащий логин и хэш-сумму пароля. Если в дальнейшем вам потребуется изменить указанный пароль, снова используйте команду выше.
- Перейдите в директорию, которую необходимо защитить паролем (например, это может быть директория wp-admin ), и создайте в ней файл .htaccess со следующим содержимым, указав вместо u и user первую букву вашего логина и сам логин:
AuthType Basic
AuthName "Authentication Required"
AuthUserFile /home/u/user/.htpasswd
require valid-user
Если речь идет о защите всего сайта в целом, эту конструкцию необходимо вставить в общий .htaccess -файл, размещенный в директории public_html вашего сайта.
Блокировка запросов по User-Agent
Можно ограничить доступ к сайту для определенных User-Agent. Например, при нежелательной активности ботов MJ12bot и SolomonoBot, используйте:
RewriteCond % (SolomonoBot|MJ12Bot)
RewriteRule ^.*$ - [R=404,L]
Ограничения по видам запросов
Для применения ограничений для определенных методов запросов можно использовать блоки :
SetEnvIfNoCase User-Agent SolomonoBot bad_bot
SetEnvIfNoCase User-Agent MJ12Bot bad_bot
Order Allow,Deny
Allow from all
Deny from env=bad_bot
Для новых версий Apache, начиная с 2.4, оптимально использовать директивы Require и заключать их в блоки :
SetEnvIfNoCase User-Agent SolomonoBot bad_bot
SetEnvIfNoCase User-Agent MJ12Bot bad_bot
Require all granted
Require not env bad_bot
Индексная страница по умолчанию
Директива DirectoryIndex позволит вам указать страницу, которая будет отдаваться по умолчанию при обращении к директории, например:
DirectoryIndex new_index.html
Вы также можете указать несколько страниц, в этом случае сервер «пройдет» по списку слева направо и отобразит первую доступную страницу:
DirectoryIndex new_index.html index.html index.php
Собственные страницы ошибок
С помощью директивы ErrorDocument вы можете сообщить веб-серверу, какая страница должна отдаваться клиенту в случае возникновения определенной ошибки (403, 404, 500 и др.). Для этого необходимо указать номер ошибки и адрес нужной страницы:
ErrorDocument 500 http://domain.ru/errors/page500.html
Вы можете хранить файлы этих страниц как в корне сайта, так и в специально созданной папке, например, errors.
Кодировка
Указать кодировку по умолчанию (например, cp1251, utf-8, koi8-r) для всех выдаваемых страниц можно с помощью AddDefaultCharset , например:
При использовании PHP версии 5.6 и выше может потребоваться дополнительно указать:
php_value default_charset cp1251
Отображение листинга (содержимого директории)
Если индексный файл запрашиваемой клиентом директории недоступен, будет выведена ошибка «403 Forbidden». Если вместо этого необходимо отображение содержимого директории, потребуется добавить в .htaccess директиву: