Think如何保护敏感目录不被访问 目录权限与防盗链设置完全指南|Duuu笔记

必须禁止Web访问的目录有application、config、runtime、common（若存在）、extend（含敏感配置），因其存储核心逻辑、数据库密码、日志缓存等，直接暴露将导致严重安全风险。

ThinkPHP 项目根目录下哪些目录必须禁止 Web 访问

直接答案：

application

、

config

、

runtime

、

common

（如果存在）、

extend

（若含敏感配置）这些目录，**绝不能通过浏览器 URL 直接访问**。它们存放了应用逻辑、数据库配置、缓存/日志文件，一旦暴露，轻则泄露数据库密码，重则被上传 WebShell。

常见错误现象：

http://yourdomain.com/application/database.php

能直接打开并显示明文配置；

http://yourdomain.com/runtime/log/

列出所有日志文件甚至可下载。

Web 服务器默认允许目录索引（如 Apache 的

Options Indexes

或 Nginx 未禁用

autoindex

），会导致目录遍历

ThinkPHP 的入口文件

public/index.php

是唯一合法入口，但其他目录没做路由拦截，靠 Web 服务器层防护

本地开发时用 PHP 内置服务器（

php -S

）不带路由规则，会直接暴露所有文件 —— 这不是 ThinkPHP 的锅，是启动方式错了

Apache 下用 .htaccess 禁止敏感目录访问

核心思路：在项目根目录（即包含

application

、

public

的那层）放

.htaccess

，对每个敏感目录单独加

Deny from all

。别指望一个规则管全部，ThinkPHP 目录结构可能因版本或定制而异。

典型配置示例（放在项目根目录）：

“

PHP免费学习笔记（深入）

”；

独响

一个轻笔记+角色扮演的app

下载

Require all denied

Require all denied

Require all denied

Require all denied

必须确认服务器启用了

mod_rewrite

且

AllowOverride All

已在虚拟主机配置中开启，否则

.htaccess

完全不生效

ThinkPHP 6+ 默认使用

app

替代

application

，注意核对实际目录名，写错就等于没防

别把

.htaccess

放进

public/

目录 —— 它只对所在目录及子目录生效，根目录的规则才覆盖

application

等同级目录

Nginx 中 location 匹配要避开 rewrite 陷阱

Nginx 没有

.htaccess

，所有规则写在 server 块里。关键点：用

location ^~

做前缀精确匹配，**不能用

location ~

正则匹配敏感目录** —— 因为正则优先级低于

^~

，而 ThinkPHP 的通用 rewrite 规则（如

try_files

）常位于正则块中，会导致“禁止访问”被绕过。

正确写法（在 server 块内，位于 root 指令之后）：

location ^~ /application/ { deny all; }

location ^~ /config/ { deny all; }

location ^~ /runtime/ { deny all; }

location ^~ /common/ { deny all; }

^~

表示“前缀匹配且不再检查正则”，确保这些规则绝对优先执行

路径末尾的

/

必须带上，否则

/application.php

这类文件也会被误拦

如果用了 ThinkPHP 的多应用模式，

app

目录名可能不同，得同步改

location

路径

某些运维习惯在

location /

里写

try_files $uri $uri/ /index.php?$query_string

，这个本身不危险，但必须保证上面的

deny all

规则在它之前 —— Nginx 按配置顺序匹配

防盗链只是补充，别指望它防目录遍历

防盗链（

valid_referers

）只能限制图片/CSS/JS 等静态资源被外站引用，对

/application/database.php

这种 PHP 文件完全无效 —— 浏览器访问时 referer 可伪造，且命令行

curl

根本不带 referer。

如果你看到网上教程让在

location ~ \.php$

里加防盗链，那是错的：PHP 脚本不该被直接访问，该被

deny all

，而不是“看 referer 再决定给不给”

真正需要防盗链的是

public/

下的上传目录（如

public/uploads/

），防止别人盗链你的用户头像或附件，这和保护

runtime

是两回事

别在

public/

里放

.htaccess

或写 Nginx

location

去拦

/application/

—— public 是 Web 根目录，它根本看不到上层目录，拦了个寂寞

最易被忽略的一点：上线前一定要用浏览器手动试几个敏感路径，比如

/runtime/

、

/config/

，别只信配置写了就完事。有些环境（如宝塔面板）会自动覆盖或禁用用户自定义的

location

规则，得去面板里关掉“防跨站攻击”之类的功能再测试。