# ============================================
# PROTECTION DES FICHIERS SENSIBLES
# ============================================

# Bloque l'accès direct à db_config.php (contient les identifiants de la base de données)
<Files "db_config.php">
    Order Allow,Deny
    Deny from all
</Files>

# Bloque l'accès aux fichiers de log
<Files "*.log">
    Order Allow,Deny
    Deny from all
</Files>

# Bloque l'accès aux fichiers d'erreur
<Files "versement_errors.log">
    Order Allow,Deny
    Deny from all
</Files>

# Protection contre les injections de fichiers (ne pas servir les fichiers .php cachés)
<FilesMatch "^\.">
    Order Allow,Deny
    Deny from all
</FilesMatch>

# Désactiver l'affichage du contenu des répertoires
Options -Indexes

# ============================================
# SÉCURITÉ SUPPLÉMENTAIRE
# ============================================

# Bloque les User-Agents malveillants
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTP_USER_AGENT} (dotnet|python-requests|Go-http-client|curl|wget|libwww-perl) [NC]
    RewriteRule .* - [F,L]
</IfModule>

# Protection contre le clickjacking
Header always append X-Frame-Options SAMEORIGIN

# Protection XSS
Header always set X-XSS-Protection "1; mode=block"

# Protection MIME-type sniffing
Header always set X-Content-Type-Options "nosniff"

# Limiter les méthodes HTTP autorisées
<LimitExcept GET POST>
    Order Allow,Deny
    Deny from all
</LimitExcept>