Bảo mật với htaccess

[AdminAdmin is verified member.]

Mấy hôm ngồi viết lại phpbasic, vọc vọc htaccess 1 hồi TG chợt nghĩ ra 1 cách bảo mật qua url với htaccess nên post lên đây chia sẽ cùng anh em. Cách này chỉ chống được các tấn công qua url.
Ví dụ:
nội dung tập tin .htaccess

RewriteEngine on
RewriteRule ^index.php?action=[^(a-zA-Z0-9)] index.php

File htaccess này có tác chuyển các url có dạng: index.php?action=<không phải ký tự a,b,.. hoặc số> về trang index.php
Ở đây thay vì dùng PHP để kiểm tra tính hợp lện của biến $_GET['action'] thì TG dùng htaccess, khi kiểm tra bằng PHP thì PHP lấy dữ liệu xuống rồi sử lý còn dùng htaccess thì url được server kiểm tra trước sau đó mới đưa qua PHP
Và còn 1 chỗ mà ít khi anh em để ý, ví dụ trong 1 bộ code có rất nhiều file .php và các file này được include vào để chạy(config.php,db.php,...), nếu 1 file được gọi thì có thể không chạy cũng có thể báo lỗi đủ thứ và làm lộ nhiều thông tin về website, nên có thể dùng htaccess để không cho truy cập vào các file này

RewriteEngine on
RewriteRule ^(.*).php error.html

Bỏ tập tin access vào những thư mục file .php không được phép gọi trực tiếp, khi người dùng cố tình gọi vào file này thì nó tự động chuyển sang 1 file error.html (do bạn tự tạo)
Tóm lại, là có thể dùng htaccess để kiểm tra url theo đúng định dạng người code yêu cầu, tất cả các link không đúng định dạng có sẽ không được đưa đến PHP smile.