隐藏 PHP 扩展名——使用 .htaccess 文件

在网站开发过程中，我们常常使用PHP脚本编写后端业务逻辑。无论是使用MVC框架，还是使用面向过程的编程方式，PHP脚本的文件扩展名都是 ".php"。然而，这可能会给黑客带来机会，因为他们可以利用这些文件扩展名，通过URL直接访问到敏感的脚本文件。为了增强网站的安全性，我们需要隐藏PHP脚本的扩展名。

在本文中，我们将介绍通过使用 .htaccess 文件来隐藏 PHP 扩展名的方法。

1. 创建 .htaccess 文件

首先，我们需要在网站的根目录下创建一个名为 .htaccess 的空文件。为了能够在Windows操作系统中创建此类文件，可以在文本编辑器中创建一个空白文本文件，并将其保存为 ".htaccess" （带上双引号保存即可），而不是 ".htaccess.txt" 或其他格式，否则Apache将无法读取文件内容。

2. 配置 .htaccess 文件

接下来，我们需要在 .htaccess 文件中配置以下代码：

RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ $1.php [L,QSA]

以上代码的作用是，当用户请求一个没有扩展名的文件时，Apache将自动将请求重定向到同名的 .php 文件。

• RewriteEngine On ：此语句告诉Apache开启URL重写模块。
• RewriteCond %{REQUEST_FILENAME} !-f ：此语句指示Apache，如果请求的文件不存在，则进行下一步操作。
• RewriteCond %{REQUEST_FILENAME} !-d：此语句指示Apache，如果请求的目录不存在，则进行下一步操作。
• RewriteRule ^(.*)$ $1.php [L,QSA] ：此语句对请求进行重定向，将请求的文件名加上 .php 扩展名。

3. 测试

保存 .htaccess 文件后，我们可以在浏览器中打开网站并测试以前可以访问的脚本文件是否已被隐藏。例如，原本可以访问的脚本文件 URL 为：

http://example.com/login.php

现在，由于 .htaccess 配置的作用，可以通过以下两种方式访问该页面：

http://example.com/login

或者

http://example.com/login.php

但是，仅当我们在浏览器中显式地输入 login.php 作为请求时，它才会显示 PHP 文件扩展名，因为此时我们绕过了 .htaccess 的重写规则。。

综上所述，通过使用 .htaccess 文件可以轻松地隐藏 PHP 脚本的扩展名。这可以增强网站的安全性，并且不会干扰 PHP 脚本的运行。但是，需要注意的是，.htaccess 文件的配置必须符合服务器的要求。某些服务器（如共享托管服务器）可能不允许使用 .htaccess 文件，或具有不同的规则和限制。您应该首先向您的主机提供商咨询，以确定最佳方法和限制。

参考资料

• How to hide the .php file extension with Apache Rewrite
• Apache Module mod_rewrite