我有一个 web 应用程序,我将大部分 PHP 代码单独保存在控制器中。这些控制器在文件的开头有用户身份验证。如果用户通过身份验证,其余代码将运行,并且根据操作,将包含一个 HTML 模板/视图。这些模板文件具有命名方案 file.html.php。
所以我的问题是,我在控制器上有用户身份验证,但是是什么阻止了某人在 URL 中点击我的模板?请注意,这些模板是 100% 无用的,因为我的所有 PHP/数据库代码都在控制器中,因此没有从数据库中提取数据。
阻止这种情况的一种方法是将身份验证检查添加到我的模板文件中,但随后我会在常规页面加载时多次检查身份验证。
另一种方法是我考虑在 apache 中编辑我的 httpd.conf 以拒绝使用 reg 表达式访问这些文件,就像 .htaccess 文件被以下内容阻止一样。
<FilesMatch "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</FilesMatch>
在我这样做之前,其他人在这种情况下会做什么?