Вобшем выкладываю свою сборки для eleanor, пользуйтесь:

## Включение mod_rewrite
RewriteEngine On
##

## Корневая директория
RewriteBase /
##

## Индексная страница
DirectoryIndex index.php 
#

## Кодировки по умолчанию
AddDefaultCharset utf-8
##

## Редирект с WWW на без WWW
RewriteCond %{HTTP_HOST} ^www\.(.*) [NC]
RewriteRule ^(.*)$ http://%1/$1 [R=301,L]
##

## Редирект адресов с index.php на без index.php
RewriteCond %{THE_REQUEST} ^GET.*index\.php [NC]
RewriteRule (.*?)index\.php/*(.*) /$1$2 [R=301,L]
##

## Редирект на новую категорию
#RewriteRule ^старая/(.*)$ /новая/$1 [R=301,L]
##

## Запрет листинга и просмотра директорий
Options All -ExecCGI -Indexes -Includes +FollowSymLinks
##

## Настройки сервера
ServerSignature Off
php_value safe_mode 0
php_flag file_uploads 1
php_value display_errors 0
php_value register_globals 0
php_value output_buffering 0
php_value magic_quotes_gpc 0
php_value allow_url_fopen 0
php_flag magic_quotes_runtime 0
php_value upload_max_filesize 5M
##

## Правила обработки запросов для блокировки распространенных эксплоитов
RewriteCond %{QUERY_STRING} proc/self/environ [OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
RewriteCond %{QUERY_STRING} base64_(en|de)code\(.*\) [OR]
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule .* index.php [F]
##

## Блокирование MySQL инъекций
RewriteCond %{query_string} concat.*\( [NC,OR]
RewriteCond %{query_string} union.*select.*\( [NC,OR]
RewriteCond %{query_string} union.*all.*select [NC]
RewriteRule ^(.*)$ index.php [F,L]
##

## Блокировка файловых инъекций 
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC]
RewriteRule .* - [F]
##

## Редирект для чужих доменов
RewriteCond %{HTTP_HOST} !^eleanors\.ru$
RewriteRule ^(.*)$ http://eleanors.ru/$1 [R=301,L]
##

## Правила для скачивания: отдаем любой контент только через скрипт
RewriteRule ^uploads/(.*)$ download.php?download=$1 [L]
##

#Если запрашиваемый ресурс не папка и не файл - это ЧПУ
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
##

## Правило обработки изображений
RewriteCond %{REQUEST_URI} !\.(css|js|jpe?g|gif|png|bmp)$
RewriteRule ^(.*)$ index.php?!$1!&%{QUERY_STRING} [L]
##

Если есть косяки просьба указать.

В этом нет совершенно никакого смысла. Я уже обо всем позаботился до вас

Отлично, значит убираю, ибо не грузит лишний раз)

хотелось бы всё таки увидеть вашу реализацию

Quber, судя по всему, вы ко мне обращались. Моя реализация заключается в добавлении строк

if(!defined('CMS'))die;

Во все файлы. Таким образом, напрямую обратится к такому файлу нельзя.

а если залили шел? у этого файла нет данной строки.

Если залили шел, то, очевидно и другую защиту удалят запросто.

Удалят если права не 444.
А если получили доступ только к одной папке, например к "templates" и залили туда?
Или взломали админку, вошли в редактор шаблона вставили в файл шаблона шел. как в таком случаи?

Я не считаю "а если..." аргументом, потому что в таком случае, доступ могут получить куда угодно. Почему именно в каталог с шаблонами?

ну например у меня разрешен доступ по фтп только к шаблонам.

если вы не считаете "а если" сочувствую...

Вот и докопались до истины. Но, спешу разочаровать, если у вас есть по FTP доступ к шаблонам "Блокирование прямого доступа к ядру" из главного .htaccess вас не спасет.


Я не нуждаюсь в вашем сочувствии.

С чего вы так решили?



Добавлено через 9 минут, 3 секунд:



я залил шел в директорию "templates" и свободно его запустил. с вашим стандартным htaccess
потом я заменил его на свой первоначальный.
И я не смог запустить шел так как он был блокирован

RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_URI} \.php [NC]
RewriteCond %{REQUEST_URI} \/templates\/
RewriteRule ^(.*)$ index.php [R=404,L]
##

Destroy, ну что, мне вас еще хакингу учить? Пфф... Залили shell.php в каталог с шаблонами, это раз. Правим файл index.php шаблона, дописываем строку типа (это два):

rename('templates/shell.php','shell.php');

Заходим на site.ru/shell.php и радуемся жизни (это три).

что за бред... каким образом вы выполните php? если он не запуститься на прямую?
Сами то попробуйте для начала.

Просто зайду на сайт. Сайт обязательно выполнит шаблон index.php

Да верно... Не подумал.

Destroy, я уже молчу о том, что скорее всего есть возможность создать еще и свой .htaccess, который "затрет" правила из каталога выше. В общем, если есть доступ по FTP, то сайт, считайте сломан.

Я видел Вашу реализацию. Встречал в некоторых других движках аналогичную. Я хотел узнать у Destroy про htaccess, я специально его прокомментировал Но всё равно спасибо за ответ

Ответ будет или нет?

А не проще просто всё перенаправлять на index.php, кроме статики разумеется ?