/.htaccess
/cat/.htaccess
/dir/
/dir/vigvam/
Здесь на каталоги dir распространяется действие "корневого" файла htaccess а в каталоге cat он свой.
Ну что ж...куда класть файл мы примерно разобрались, давайте теперь посмотрим что в нем должно быть. Прежде всего в корневом файле htaccess мы можем назначить страницы ошибок, чтобы выводились наши страницы, а не дефолтные "апачевские".
ErrorDocument 404 http://badcode.net.ru/404/
В примере при ошибке 404 (Not found) будет перекидывать на адрес http://badcode.net.ru/404/
Кроме того в данном файле можно задать по умолчанию индексную страницу, т.е. ту страницу которая будет выводиться если не найдена например index.html или index.php
DirectoryIndex figvam.php
Данный файл будет выводиться при запросе к корневой дирректории файла по умолчанию. Так же своими htaccess можно переназначить индексные файлы для других дирректорий.
Ну и конечно, обязательно, на мой взгляд должен быть запрет выдачи листинга директории всегда.
Options -Indexes
В некоторых дирректориях отдельно взятых CMS хранятся исключительно системные файлы, файлы библиотек или, если движок написан на файликах, возможно, какие-либо важные данные. Чтобы запретить доступ к данной дирректории с сайта в htaccess данной дирректории нужно добавить вот такую строку.
Order Deny,Allow
Deny from all
Первая строка предопределяет состояние по умолчанию и может принимать значения либо Deny, Allow либо Allow, Deny а вторая строка полностью запрещает доступ всем к этому каталогу. Но иногда требуется открыть доступ, для определенных ip (если у вас дома статический айпи в админку сайта вы сможете попадать только с него если настроите данную функцию, это очень неплохо защищает например от брутфорсинга). Тогда следует сдалать примерно так:
Order Deny,Allow
Deny from all
Allow from ip1,ip2
Где, ip1 и ip2 это айпишники с которых дозволен доступ. Но это далеко не весь спектр возможных настроек при помощи htaccess. Данный файл может конфигурировать php (если конечно php настроен на сервере как модуль apache, на большинстве хостингов это именно так). Например включить/отключить глобальные переменные.
php_flag register_globals off #отключили
Так же возможно включить или отключить magic_quotes
php_value magic_quotes_gpc off #отключили
У хорошего программиста пользователь никогда не видит ошибок в скриптах. А сделать это можно например так:
php_value error_reporting 0 # или
php_flag error_reporting 0
Но самой, на мой взгляд удобной особенностью является автоматическое добавление отдельного скрипта ко всем выполняемым:
php_value auto_prepend_file /home/www/user/htdocs/top.php
Т.е при запросе например к индексному php файлу будет сначала выполняться top.php. Адрес здесь должен быть от корня сервера.
Как видите вариантов настройки в данном файле очень много, и то что я здесь описал далеко не все. Я показал вам лишь пример что должно быть в файле конфигураций, чтобы вероятность того что вас взломают стремилась к нулю. Но это естественно не панацея. Это лишь еще одно средство защиты. Одно из многих. На оффициальном сайте apache адрес которого представлен здесь на сайте в разделе ссылок вы можете более подробно ознакомиться с настройками htaccess
[/caption]