【正文】 控制的，其中可以使用 GET、 POST 等各種服務器支持的請求方法做 Limit 的參數(shù)，來設定對不同請求方法的訪問限制。 ? 對 IP 地址和域名的控制 Apache 服務器可以基于 IP 地址和基于用戶對訪問服務器進行控制。需要使用 AccessFileName 定義訪問控制文件的名字，缺省它被設置為 .htaccess。因此就要求 中必須允許控制文件使用 Limit 功能，對應的設置為AllowOverride Limit 選項（或 All 選項）。 21 Order 定義服務器查詢訪問控制的順序，當設置為 Order Allow, Deny 的時候?qū)⑾忍幚鞟llow 指令，再處理 Deny 指令，缺省的是 Deny。具體的規(guī)則如下： 規(guī)則 例如 主機名（也可以是域名） Allow from 完整的 IP 地址 Allow from 子網(wǎng) Allow from Allow from Allow from 這里是一個例子： order deny, allow deny from all allow from . allow from allow from 127. 這個例子是一個專有網(wǎng)絡的例子，它采用的封閉式策略，以保證服務器的安全性。如果要針對用戶對訪問服務器的客戶進行控制，首先就要設置訪問控制文件為對用戶進行認證，因此要允許目錄訪問控制文件中具備 AuthConfig 的設置。 AuthUserFile .htpasswd AuthGroupFile .htgroup AuthName SecurityAuth AuthType Basic require vailduser 22 這個例子里，使 用 Apache 目錄下的 .htpasswd 作口令文件， .htgroup 作組文件，使用 Basic的加密認證方法，并定義 AuthName 為 SecurityAuth。 因此一般使用與系統(tǒng)口令相分離的口令文件來認證 Web 服務器用戶，這樣即使口令被泄露，并被破譯，造成的安全影響也很小，不至于影響系統(tǒng)的正常運行。 為了便于管理，可以進一步將這些用戶分組，組文件的每一行定義了一個組及其成員的名字，然后在 .htaccess 中使用 AuthGroupFile 指定 這個目錄使用的組文件的名字，例如： group1: user1 user2 user3 user4 這條內(nèi)容創(chuàng)建了一個口令組 group1，包括 user1,user2,user3,user4 成員。 當基于用戶的認證和基于地址的認證綜合使用時，可以通過使用 satify 參數(shù)指定不同的限制條件，如果設置 satify all，那么必須同時通過用戶和地址認證才能訪問網(wǎng)頁，而設置 satify any，只需要通過一個認證客戶就能訪問這個目錄了。然而這種方式有兩個缺點，一個為瀏覽器將在 Inter 上使用明文發(fā)送用戶名和口令信息，另一個是 htpasswd 的口令文件為普通文本文件，這樣當用戶數(shù)目較多時，查找用戶的效率就很低。 AuthType 為 Basic 時，是使用系統(tǒng)加密方法，一般是使用 MD5 算法。 除了使用 DBM 之外， Apache 還可以配置成與匿名 ftp 認證方式類似的方式，或者使用mSql、 Oracle 等 SQL 數(shù)據(jù)庫進行認證，或者使用 Kerboros、 LDAP 服 務器進行認證，這些認證方式更為強大，能使 Web 認證與其他網(wǎng)絡服務的認證方式相統(tǒng)一。而 PHP 獨特的語法混合了 C、 Java、 Perl 以及 PHP 式的新語法。在這早期的版本中，提供了訪客留言本、訪客計數(shù)器等簡單的功能。在 1996 年底，有一萬五千個 Web 站臺使用 PHP/FI；在 1997 年中，使用 PHP/FI 的 Web 站臺成長到超過五萬個。第二版定名為 PHP/FI(Form Interpreter)。 PHP 最初是在 1994 年由 Rasmus Lerdorf 開始計劃發(fā)展。 五、安裝ＰＨＰ （一） PHP 的來龍去脈 講到 PHP 的全名就蠻有趣的，它是一個縮寫名稱， PHP: Hypertext Preprocessor，打開縮寫還是縮寫。 Apache 服務器中使用模塊 對這種數(shù)據(jù)庫口令文件提供支持。在 Digest 認證方式下，瀏覽器不會直接發(fā)送口令的明文信息，而是在傳輸口令之前先使用 MD5 算法進行編碼處理。下面為一個綜合了地址認證和用戶認證的 .htaccess 的例子，這個例子允許 的計算機可以不需認證訪問這臺服務器，而其他位置的用戶必須是 group1 組中的合法用戶，或者是user user user3 用戶，才能訪問這臺服務器。例如使用 require user user1 要求只有 user1 用戶才能訪問，使用 require group group1 就要求必須是 group1 組的合法成員才能訪問。 htpasswd c .htpasswd user1 Adding Password for user1 New password: Retype new password: htpasswd 的 c 選項告訴 htpasswd 創(chuàng)建一個新口令文件為 .htpasswd，如果沒有這個選項，htpasswd 就將用戶及其口令加入已經(jīng)存在的口令文件中。由于認證是通過 HEAD 請求來完成的，因此它不會影響瀏覽器顯示的網(wǎng)頁。 AuthName 定義這個認證的標識，用于返回給瀏覽器用戶，起到提示作用。 ? 基于用戶的訪問控制 更嚴格、有效的控制方法還是基于用戶和對應的口令對瀏覽客戶進行控制。由于這兩種不同的方式代表不同的訪問控制策略， Order deny, allow 和 deny from all 合作，是用于只允許設置過的客戶機訪問服務器，而 Order allow, deny 和 allow from all 合作，是允許所有的客戶機訪問，而僅僅屏蔽部分具有惡意的網(wǎng)絡地址。對于一般的情況，可以對大部分客戶打開 GET、 POST 和 HEAD 請求，而關(guān)閉 PUT、 DELETE 等其他更復雜且不常用的請求。 AllowOverride All 將允許 .htaccess 文件能改變所有的訪問控制功能，如果僅僅希望目錄的所有者只控制部分訪問控制功能，可以使用 AllowOverride 的其他設置選項，那樣 .htaccess只能使用允許的設置選項。然 而，由于不是每個使用者都可以隨便更改系統(tǒng) Web 服務器的設置文件，并能重新啟動服務器的，因此在設置文件中的控制指令只是提供了基本的訪問控制策略，而更靈活的方式是通過各個文檔目錄中的訪問控制文件來實現(xiàn)的。 Limit 指令中可以限制的請求方法有： GET, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH, PROPFIND, PROPPATCH, MKCOL, COPY, MOVE, LOCK,和 UNLOCK（請注意大小寫）。 用于 報 告 當 前 Apache 服 務 器 的 狀 態(tài) ， 20 用于報告 Apache 服務器的統(tǒng)計信息。這個指令對于系統(tǒng)安全比較重要，例如上例將屏蔽所有的使用者不能訪問 .htaccess 文件，這樣就避免 .htaccess 中的關(guān)鍵安全信息不至于被客戶獲取。 配置文件和每個目錄下的訪問控制文件都可以設置訪問限制，設置文件是由管理員設置的，而每個目錄下的訪問控制文件是由目錄的屬主設置的，因此管理員可以規(guī)定目錄的屬主是否能覆蓋系統(tǒng)在設置文件中的設置，這就需要使用 AllowOverride 參數(shù)進行設置，通?？梢栽O置的值為： AllowOverride 的設置 對每個目錄訪問控制文件作用的影響 All 缺省值，使訪問控制文件可以覆蓋系統(tǒng)配置 None 服務器忽略訪問控制文件的設置 19 Options 允許訪問控制 文件中可以使用 Options 參數(shù)定義目錄的選項 FileInfo 允許訪問控制文件中可以使用 AddType 等參數(shù)設置 AuthConfig 允許訪問控制文件使用 AuthName， AuthType 等針對每個用戶的認證機制，這使目錄屬主能用口令和用戶名來保護目錄 Limit 允許對訪問目錄的客戶機的 IP 地址和名字進行限制 每個目錄具備一定屬性，可以使用 Options 來控制這個目錄下的一些訪問特性設置，以下為常用的特性選項： Options 設置 服務器特性設置 All 所有的目錄特性都有效，這是缺 省狀態(tài) None 所有的目錄特性都無效 FollowSymLinks 允許使用符號連接，這將使瀏覽器有可能訪問文檔根目錄（ DocumentRoot）之外的文檔 SymLinksIfOwnerMatch 只有符號連接的目的與符號連接本身為同一用戶所擁有時，才允許訪問，這個設置將增加一些安全性 ExecCGI 允許這個目錄下可以執(zhí)行 CGI 程序 Indexes 允許瀏覽器可以生成這個目錄下所有文件的索引，使得在這個目錄下沒有 （或其他索引文件）時，能向瀏覽器發(fā)送這個目錄下的文件列表 此外，上例中還使用了 Order、 Allow、 Deny 等參數(shù)，這是 Limit 指令中用來根據(jù)瀏覽器的域名和 IP 地址來控制訪問的一種方式。由于 Apache 對目錄 訪問控制是采用的繼承方式，如果從根目錄就允許查看訪問控制文件，那么 Apache 就必須一級一級的查看訪問控制文件，對系統(tǒng)性能會造成影響。 Directory / Options FollowSymLinks AllowOverride None /Directory Directory C:/Apache/htdocs Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny Allow from all /Directory Directory 指令就是用來定義目錄的訪問限制的，這里可以看出它的標準語法，為一個目錄定義訪問限制。在服務器所具備的眾多特性中，安全控制的特性最為有用。 NameVirtualHost DocumentRoot C://data ServerName DocumentRoot /vhost1 ServerName DocumentRoot /vhost2 ServerName 這里需要注意的是， VirtualHost 的參數(shù)地址一定要和 NameVirtualHost 定義的地址相一致，必須保證所有的值嚴格一致， Apache 服務器才承認這些定義是為這個 IP 地址定義的虛擬主機。這種方式不需要額外的 IP 地址，但需要新版本的瀏覽器支持。由于這需要使用額外的 IP 地址，對每個要提供服務的域名都要使用單獨的 IP 地址，因此這種方式實現(xiàn)起來問題較多。 虛擬主機的概念對于 ISP 來講非常有用，因為雖然一個組織可以將自己的網(wǎng)頁掛在具備其他域名的服務器上的下級往址上，但使用獨立的域名和根網(wǎng)址更為正式，易為眾人接受。 （三）虛擬主機 NameVirtualHost :80 NameVirtualHost ServerAdmin DocumentRoot C://docs/ ServerName ErrorLog logs/ CustomLog logs/ mon 缺省設置文件中的這些內(nèi)容是用于設置命名基礎的虛擬主機服務器時使用。 ErrorDocument 500 The server made a boo boo.” ErrorDocument 404 / ErrorDocument 404 /cgibin/ ErrorDocument 402 如果客戶請求的網(wǎng)頁不存在，或者沒有訪問權(quán)限等情況發(fā)生時，服務器將產(chǎn)生一個錯誤代碼，同時也將回應客戶瀏覽器一個標識錯誤的網(wǎng)頁。 AddHandler cgiscript .cgi AddHandler 是用于指定非靜態(tài)的處理類型，用于定義文檔為一個非靜態(tài)的文檔類型，需要進行處理，再向瀏覽器返回處理結(jié)果。缺省情況下 CGI 程序使用 cgibin 目錄作為虛擬路徑。因此 Alias 可以用來映射一些公用文件的路徑，例如保存了各種常用圖標的 icons 路徑。 這些參數(shù)指定的文件使用的是相對路徑，就是相對于 ServerRoot 的路徑。 ErrorLog logs/ LogLevel warn LogFormat %h %l %u %t \%r\ %s %b \%{Referer}i\ \%{UserAgent}i\ bined LogFormat %h %l %u %t \%r\ %s %b mon LogFormat %{Referer}i %U referer LogForma