Dopo avere visto cosa sono e a cosa servono i file .htaccess su un server Apache, in questa lezione vedremo un caso d'uso specifico. Per familiarizzare con alcuni utilizzi di questi file, può essere utile commentare le regole predefinite adottate da alcuni dei CMS più utilizzati. Di seguito vedremo dunque i casi di Joomla e WordPress.
Joomla
Il file .htaccess fornito con le installazioni di Joomla (di default chiamato htaccess.txt, in modo tale che non venga considerato, se non quando sia stato esplicitamente ridenominato dal gestore del sito) viene utilizzato per impedire alcuni tipi di attacchi che violerebbero la sicurezza del CMS, nonchè per rendere possibile l'utilizzo di URL Search Engine Friendly (SEF).
All'interno del file possiamo trovare le seguenti direttive (le righe precedute da # sono ignorate):
##
# @package Joomla
# @copyright Copyright (C) 2005 - 2015 Open Source Matters. All rights reserved.
# @license GNU General Public License version 2 or later; see LICENSE.txt
##
##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that disallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's. If they work,
# it has been set by your server administrator and you do not need it set here.
##
## No directory listings
IndexIgnore *
Con la direttiva IndexIgnore si impedisce la visualizzazione della lista dei file presenti nella directory se non è presente uno dei file richiesti mediante la direttiva DirectoryIndex (ad esempio index.html o index.php).
## Can be commented out if causes errors, see notes above.
Options +FollowSymlinks
Options -Indexes
## Mod_rewrite in use.
RewriteEngine OnCon queste direttive viene abilitato mod_rewrite, un componente per la riscrittura delle URL che sarà esaminato in dettaglio in una lezione successiva.
## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.
La regola precedente è un esempio di regola condizionata: nel caso in cui siano presenti all'interno della query string dell'URL richiesto alcuni pattern riconoscibili (per esempio l'uso della funzione base64_encode di PHP, un tentativo di injection di uno script JavaScript, il tentativo di impostare un PHP GLOBAL, il tentativo di modificare la variabile globale PHP _REQUEST) la richiesta sarà rinviata alla pagina indice, e sarà ritornato il codice di errore HTTP 403 (Accesso negato).
## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirectsSebbene Joomla consenta una gestione puntuale della riscrittura degli URL tramite il suo pannello amministrativo, è possibile definire ulteriori regole che l'estensore di questo file vorrebbe fossero raccolte tutte assieme in questa sezione.
##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##
# RewriteBase /
La direttiva RewriteBase è utilizzata per premettere il suo parametro a tutte le URL riscritte.
## Begin - Joomla! core SEF Section.
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End - Joomla! core SEF SectionNel caso in cui venga abilitato il supporto alle URL SEF tramite il pannello amministrativo, i mapping effettivi saranno memorizzati all'interno del database di Joomla. Per questo motivo, la regola condizionata precedente sarà utilizzata per far gestire al motore di Joomla solo quelle URL che non fanno riferimento a file o directory preesistenti e non siano già state riscritte in precedenza (per evitare possibili dipendenze circolari).
WordPress
Il file .htaccess di default di WordPress è estremamente essenziale, e contiene esclusivamente l'equivalente dell'ultima regola di mapping già vista nella sezione precedente per Joomla. Se il supporto ai cosiddetti "pretty permalinks" è stato abilitato tramite l'interfaccia amministrativa, il motore di WordPress riscriverà solo quelle URL che non fanno riferimento a file o directory preesistenti
e non siano già state riscritte in precedenza (per evitare possibili dipendenze circolari) secondo i mapping presenti nel suo database.
# BEGIN WordPress
<ifmodule mod_rewrite.c="">
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</ifmodule>
# END WordPress