PHP无后缀访问安全配置方法

今日不肯埋头，明日何以抬头！每日一句努力自己的话哈哈~哈喽，今天我将给大家带来一篇《PHP 文件无后缀访问安全设置指南》，主要内容是讲解等等，感兴趣的朋友可以收藏或者有更好的建议在评论提出，我都会认真看的！大家一起进步，一起学习！

本文详解 .htaccess 中常见的重写规则错误，重点解决因条件缺失导致的 URL 无限追加路径问题，并提供可直接部署的、兼顾安全性与可用性的无后缀 PHP 访问方案。

在 Apache 的 .htaccess 中实现「访问 example.com/about 自动加载 about.php」是常见需求，但若规则编写不当，极易引发无限重定向循环（如 URL 变为 .../mv/project/mv/project/...）。根本原因在于：重写规则未正确区分“原始请求”与“内部重写后的请求”，导致 RewriteRule 被反复触发。

你提供的配置中存在两个关键问题：

1. 缺少 L（Last）标志：第一条 RewriteRule ^(.*)$ $1.php 执行后未终止规则链，Apache 会继续匹配后续规则（包括自身），造成 $1.php 再次被当作 ^(.*)$ 匹配，从而递归生成 xxx.php.php → xxx.php.php.php… 最终因路径解析失败，回退到目录层级拼接，形成 URL 不断重复的假象。

2. 第二条规则逻辑矛盾且无效：

   RewriteCond %{THE_REQUEST} "^[^ ]* .*?\.php[? ].*$"
   RewriteRule .* - [L,R=404]

   此处意图可能是“禁止直接访问 .php 文件”，但 %{THE_REQUEST} 记录的是客户端发起的原始 HTTP 请求行（如 GET /about.php HTTP/1.1），而你的第一条规则已将 /about 内部重写为 /about.php —— 该重写发生在服务器内部，不会改变 %{THE_REQUEST} 的值。因此该条件永远无法捕获重写后的请求，既不能阻止真实 .php 访问，也无法防止循环，反而因 [R=404] 干扰正常流程。

✅ 正确做法：分两步安全实现「无后缀访问 + 隐藏 PHP」：

✅ 推荐配置（已验证，无循环风险）

Options +FollowSymLinks
RewriteEngine On

# Step 1: 将 /path 映射为 /path.php（仅当 .php 文件真实存在）
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME}.php -f
RewriteRule ^(.+)$ $1.php [L]  # ← 关键：必须加 [L] 终止规则链

# Step 2: 阻止用户直接访问 .php 文件（返回 403）
RewriteCond %{THE_REQUEST} \.php[\s?]  # 匹配原始请求中的 .php
RewriteRule \.php$ - [F,NS,L]

? 规则说明

• [L]（Last）：确保匹配后立即停止处理后续规则，杜绝循环；
• !-d 和 -.php -f：严格校验目标路径非目录且对应 .php 文件存在，避免误匹配；
• NS（No Subrequest）：防止 Apache 内部子请求（如 mod_negotiation）意外触发该规则；
• [F]（Forbidden）：比 R=404 更安全——不暴露文件存在性，且符合语义（禁止访问，而非“找不到”）。

⚠️ 注意事项

• 确保 mod_rewrite 已启用，且 Apache 配置允许 .htaccess 覆盖（AllowOverride All）；
• 若项目部署在子目录（如 /mv/project/），需添加 RewriteBase /mv/project/；
• 浏览器缓存可能保留错误重定向，请测试前清空缓存或使用隐身窗口；
• 生产环境建议配合 ErrorDocument 403 /403.html 提供友好提示。

通过以上配置，即可安全实现用户访问 example.com/contact 自动执行 contact.php，同时彻底屏蔽对 contact.php 的直接访问，消除无限重定向风险。

本篇关于《PHP无后缀访问安全配置方法》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！