Votre Q se compose de deux parties, les solutions de jeroen et anubhava fonctionnent pour la partie I - refuser l'accès à / comprend. anubhava fonctionne également pour la partie II. Je préfère ce dernier parce que j'utilise un de DOCROOT/.htaccess
toute façon et cela garde tout ce contrôle dans un seul fichier.
Cependant, ce que je voulais discuter est le concept de "refuser l'accès à submit.php
". Si vous ne voulez pas l'utiliser, submit.php
pourquoi l'avoir dans DOCROOT? Je soupçonne que la réponse ici est que vous l'utilisez comme cible d'action dans certaines formes et que vous ne voulez qu'il soit déclenché lorsque le formulaire est soumis et non directement, par exemple à partir d'un spambot.
Si cela est vrai, vous ne pouvez pas utiliser la partie II d'anubhava car cela entraînera l'échec de votre formulaire. Ce que vous pouvez faire ici est (i) avec le .htaccess
chèque pour vous assurer que le référent était votre propre page d'index:
RewriteCond %{HTTP_REFERRER} !=HTTP://www.domain.com/index.php [NC]
RewriteRule ^submit\.php$ - [F]
Et (ii) dans votre générateur de formulaire PHP index.php, incluez des champs cachés pour un horodatage et une validation. La validation pourrait être, par exemple, les 10 premiers caractères d'un MD5 de l'horodatage et un secret interne. Lors du traitement de la soumission, vous pouvez alors (i) valider que l'horodatage et la validation correspondent, et (ii) l'horodatage se situe à moins de, par exemple, 15 minutes de l'heure actuelle.
Cela vous permet d'éviter le spam, car le seul moyen pratique pour un spammeur d'obtenir une paire horodatage / validation valide serait d'analyser un formulaire, mais cette gratte n'aurait qu'une durée de vie de 15 minutes.