本文介绍在 apache(lamp)环境下,通过配置 `.htaccess` 或主服务器配置,安全阻止对敏感文件(如 `.db` 数据库文件)的直接 http 访问,防止浏览器自动下载或泄露原始文件内容。
在 LAMP(Linux + Apache + MySQL + PHP)环境中,将数据库文件(如 users.db)直接放在 Web 根目录下是一个常见但高危的做法。虽然该文件并非 PHP 脚本,Apache 默认不会执行它,但若未显式限制,服务器会将其作为静态文件以 application/octet-stream 类型返回,导致浏览器自动下载——这实质上构成了敏感数据泄露风险。
为彻底禁止对 .db 等非公开文件类型的直接访问,推荐在 Apache 配置中使用
✅ 推荐方式:修改 Apache 主配置或虚拟主机配置(生产环境首选)
在对应站点的
Require all denied
✅ 优势:生效范围明确、性能更高、不受 .htaccess 是否启用限制;✅ 安全性更强,避免被恶意覆盖。
✅ 备用方式:使用 .htaccess(适用于共享主机或快速验证)
在网站根目录(如 /var/www/html/)下创建或编辑 .htaccess 文件,写入:
Require all denied
⚠️ 注意事项:
- 确保 Apache 已启用 mod_authz_core(2.4+ 默认启用)和 mod_rewrite(非必需,但常用于扩展规则);
- 若使用 Apache 2.2,请将 Require all denied 替换为 Order Deny,Allow + Deny from all;
- 切勿依赖文件名隐藏(如 .users.db)或仅靠权限掩码(chmod 600)——Web 服务器仍可能因配置疏漏而暴露;
- 最佳实践是将敏感文件移出 Web 根目录(例如存于 /var/www/private/users.db),再由 PHP 脚本通过绝对路径安全读取。
完成配置后,重启 Apache 生效:
sudo systemctl restart httpd # CentOS 7 # 或 sudo systemctl restart apache2 # Ubuntu/Debian
验证:访问 http://yourdomain.com/users.db,应返回 HTTP 403 Forbidden 页面,而非下载文件。此举可有效阻断未授权访问路径,显著提升应用基础安全性。
