Apache 的 DocumentRoot 限制导致跨目录请求返回 404,应使用 Alias 显式挂载外部目录并禁用 PHP 执行;Nginx 对应使用 alias 指令(注意斜杠),PHP 中转需严格白名单校验。
Apache 的 DocumentRoot 限制导致跨目录 404
PHP 脚本用 include 或 file_get_contents 访问 Web 根目录外的文件时,浏览器访问 URL 却返回 404,这不是 PHP 报错,而是 Apache(或 Nginx)根本没把请求路由到你的脚本——它只允许访问 DocumentRoot 及其子目录下的资源。比如 /var/www/html/index.php 想读取 /var/data/config.json,PHP 层面能读,但你如果在浏览器里直接请求 https://example.com/../data/config.json,Apache 会拦截并返回 404。
用 Alias 显式声明可访问路径(推荐)
不要靠改 AllowOverride 或开 FollowSymLinks 冒险放行整个上级目录。安全做法是用 Alias 明确挂载一个「受控子路径」指向外部目录:
Alias /data /var/dataRequire all granted # 禁止执行 PHP,防上传漏洞 Require denied
重启 Apache 后,/data/config.json 就能被正常访问,且不会暴露其他路径。注意:Alias 后的第一个参数是 URL 路径(必须以 / 开头),第二个是服务器绝对路径。
PHP 层绕过 Web 服务器限制的常见错误
有人试图用 readfile() + header() 输出外部文件来“模拟访问”,但容易踩坑:
立即学习“PHP免费学习笔记(深入)”;
-
readfile()不校验文件扩展名,可能意外输出.env或.php源码 - 忘记设
Content-Type,浏览器乱码或下载失败 - 没加
exit,后续代码继续执行,造成响应体污染 - 路径拼接未过滤
../,引发目录遍历漏洞
若必须用 PHP 中转,至少做白名单校验:
$allowed = ['config.json', 'logo.png'];
$filename = basename($_GET['f'] ?? '');
if (in_array($filename, $allowed)) {
$path = '/var/data/' . $filename;
if (file_exists($path)) {
header('Content-Type: ' . mime_content_type($path));
readfile($path);
exit;
}
}
Nginx 下对应的是 alias 指令,不是 root
用 root 容易出错:它会把 location 路径拼接到 root 后,而 alias 是直接映射。比如想让 /data/ 对应 /var/data/:
location /data/ {
alias /var/data/;
# 注意末尾斜杠:alias 值末尾要有 /,location 末尾也要有 /
autoindex off;
# 禁止执行
location ~ /.php$ { deny all; }
}
漏掉任一斜杠,Nginx 就会拼错路径,返回 404 或 403。这是最常被忽略的细节。