2007年5月 4日(金) 18時08分42秒 [Web関連]

アクセスされると困るディレクトリに制限をかける

Web上でCMSツールやブログツールなど大きめのプログラムを実行する際、一般ユーザにアクセスされると困るディレクトリが出てくることがあります。BerkeleyDBやSQLiteなどのデータベースを使う場合は、データベースファイルそのものがWeb上に存在することになる可能性もありますし。デフォルトのディレクトリ構成・デフォルトのファイル名のまま使っている場合は、簡単に格納場所を推測されて、ファイルをまるごとダウンロードされてしまう可能性もあります。

そういう「内部では使うんだけど、外部からのアクセスの必要がない」ディレクトリに対しては、「すべてのアクセスを拒否する」設定を施しておくのがよいでしょう。

すべてのアクセスを拒否する方法はとても簡単。
「.htaccess」ファイルを作成して、以下の1行を書いて保存し、アクセスを拒否したいディレクトリに格納するだけす。これだけで、アクセス拒否設定は完了します。（※ウェブサーバがApacheの場合。）

こう書いた「.htaccess」ファイルを格納したディレクトリへは、どうやってアクセスしても「403 Forbidden」エラーが返されてアクセスはできなくなります。（存在しないURLを打っても、Not FoundではなくForbiddenになります。）

もちろんそれは、外部からWebサーバを経由してアクセスされた場合の話なので、サーバ内部で動作するCGIなどからは問題なくアクセスできます。（ですから、CGIの動作に問題はありません。）