本文详解 .htaccess 中常见的重写规则错误,重点解决因条件缺失导致的 url 无限追加路径问题,并提供可直接部署的、兼顾安全性与可用性的无后缀 php 访问方案。
在 Apache 的 .htaccess 中实现「访问 example.com/about 自动加载 about.php」是常见需求,但若规则编写不当,极易引发无限重定向循环(如 URL 变为 .../mv/project/mv/project/...)。根本原因在于:重写规则未正确区分“原始请求”与“内部重写后的请求”,导致 RewriteRule 被反复触发。
你提供的配置中存在两个关键问题:
缺少 L(Last)标志:第一条 RewriteRule ^(.*)$ $1.php 执行后未终止规则链,Apache 会继续匹配后续规则(包括自身),造成 $1.php 再次被当作 ^(.*)$ 匹配,从而递归生成 xxx.php.php → xxx.php.php.php… 最终因路径解析失败,回退到目录层级拼接,形成 URL 不断重复的假象。
-
第二条规则逻辑矛盾且无效:
立即学习“PHP免费学习笔记(深入)”;
RewriteCond %{THE_REQUEST} "^[^ ]* .*?\.php[? ].*$" RewriteRule .* - [L,R=404]此处意图可能是“禁止直接访问 .php 文件”,但 %{THE_REQUEST} 记录的是客户端发起的原始 HTTP 请求行(如 GET /about.php HTTP/1.1),而你的第一条规则已将 /about 内部重写为 /about.php —— 该重写发生在服务器内部,不会改变 %{THE_REQUEST} 的值。因此该条件永远无法捕获重写后的请求,既不能阻止真实 .php 访问,也无法防止循环,反而因 [R=404] 干扰正常流程。
✅ 正确做法:分两步安全实现「无后缀访问 + 隐藏 PHP」:
✅ 推荐配置(已验证,无循环风险)
Options +FollowSymLinks
RewriteEngine On
# Step 1: 将 /path 映射为 /path.php(仅当 .php 文件真实存在)
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME}.php -f
RewriteRule ^(.+)$ $1.php [L] # ← 关键:必须加 [L] 终止规则链
# Step 2: 阻止用户直接访问 .php 文件(返回 403)
RewriteCond %{THE_REQUEST} \.php[\s?] # 匹配原始请求中的 .php
RewriteRule \.php$ - [F,NS,L]? 规则说明
- [L](Last):确保匹配后立即停止处理后续规则,杜绝循环;
- !-d 和 -.php -f:严格校验目标路径非目录且对应 .php 文件存在,避免误匹配;
- NS(No Subrequest):防止 Apache 内部子请求(如 mod_negotiation)意外触发该规则;
- [F](Forbidden):比 R=404 更安全——不暴露文件存在性,且符合语义(禁止访问,而非“找不到”)。
⚠️ 注意事项
- 确保 mod_rewrite 已启用,且 Apache 配置允许 .htaccess 覆盖(AllowOverride All);
- 若项目部署在子目录(如 /mv/project/),需添加 RewriteBase /mv/project/;
- 浏览器缓存可能保留错误重定向,请测试前清空缓存或使用隐身窗口;
- 生产环境建议配合 ErrorDocument 403 /403.html 提供友好提示。
通过以上配置,即可安全实现用户访问 example.com/contact 自动执行 contact.php,同时彻底屏蔽对 contact.php 的直接访问,消除无限重定向风险。
