Nginx配置：禁止直接访问PHP文件，但允许访问index.php

本文将详细介绍如何在 nginx 中配置，以禁止直接访问除 index.php 之外的所有 PHP 文件。通过合理配置 Nginx 的 location 指令，我们可以实现对 PHP 文件访问权限的精细控制，从而增强网站的安全性。

使用精确匹配和正则表达式

一种常见的解决方案是结合使用精确匹配和正则表达式。精确匹配用于允许访问 index.php，而正则表达式用于阻止访问其他所有 PHP 文件。

location / {     try_files $uri $uri/ /index.php?$args; }  location = /index.php {     include fastcgi_params;     fastcgi_param SCRIPT_FILENAME $document_root/index.php;     fastcgi_pass <your_PHP-FPM_backend>; }  location ~ .php$ {     return 404; }

代码解释：

• location /: 这是默认的 location 块，用于处理所有请求。try_files 指令尝试按顺序查找请求的文件或目录，如果找不到，则将请求重定向到 index.php。
• location = /index.php: 这是一个精确匹配的 location 块，专门用于处理对 index.php 的请求。 = 符号表示精确匹配。
• location ~ .php$: 这是一个使用正则表达式的 location 块，用于匹配所有以 .php 结尾的文件。~ 符号表示区分大小写的正则表达式匹配。.php$ 确保只匹配以 .php 结尾的文件，而不是包含 .php 的字符串。return 404; 指令返回 http 404 错误，表示资源未找到。

注意事项：

立即学习“PHP免费学习笔记（深入）”；

• 确保将 替换为实际的 PHP-FPM 后端地址。
• 精确匹配的 location 块优先级高于正则表达式匹配，因此对 index.php 的请求会优先匹配到 location = /index.php，而不会被 location ~ .php$ 阻止。

使用 ^~ 修饰符

另一种方法是使用 ^~ 修饰符。^~ 修饰符表示如果找到最长的前缀匹配，则停止搜索正则表达式匹配。

location / {     try_files $uri $uri/ /index.php?$args; }  location ^~ /index.php {     include fastcgi_params;     fastcgi_param SCRIPT_FILENAME $document_root/index.php;     fastcgi_pass <your_PHP-FPM_backend>; }  location ~ .php$ {     return 404; }

代码解释：

• location ^~ /index.php: 这个 location 块使用 ^~ 修饰符，表示如果请求以 /index.php 开头，则停止搜索正则表达式匹配。

注意事项：

立即学习“PHP免费学习笔记（深入）”；

• 与精确匹配类似，使用 ^~ 修饰符可以确保对 index.php 的请求不会被 location ~ .php$ 阻止。

处理不同目录下的 index.php 文件

如果你的网站有多个 index.php 文件位于不同的目录下，上述方法可能无法正常工作。在这种情况下，你需要使用两个正则表达式匹配的 location 块，并注意它们的顺序。

location / {     index index.php;     try_files $uri $uri/ /index.php?$args; }  location ~ /index.php$ {     include fastcgi_params;     fastcgi_param SCRIPT_FILENAME $request_filename;     fastcgi_pass <your_PHP-FPM_backend>; }  location ~ .php$ {     return 404; }

代码解释：

• location ~ /index.php$: 这个 location 块使用正则表达式匹配所有以 /index.php 结尾的请求。
• location ~ .php$: 这个 location 块仍然用于阻止访问其他 PHP 文件。

注意事项：

立即学习“PHP免费学习笔记（深入）”；

• 顺序很重要！ location ~ /index.php$ 必须位于 location ~ .php$ 之前。否则，所有 PHP 文件（包括 index.php）都会被 location ~ .php$ 阻止。这是因为 Nginx 会按照 location 块的顺序进行匹配，并使用第一个匹配的 location 块。
• $request_filename 变量包含请求文件的完整路径。

总结

通过上述方法，你可以有效地配置 Nginx，以禁止直接访问除 index.php 之外的所有 PHP 文件。选择哪种方法取决于你的具体需求和网站结构。重要的是理解每种方法的原理和注意事项，并根据实际情况进行调整。记住，安全性是网站开发的重要组成部分，合理的配置可以有效地防止未经授权的访问和潜在的安全漏洞。