# /reportes/.htaccess - Versión más segura
Options -Indexes

# Permitir PHP pero con verificación de referer opcional
<Files "*.php">
    Allow from all
    Require all granted
    
    # Opcional: Verificar que viene de tu dominio (puede afectar algunos casos)
    # <IfModule mod_rewrite.c>
    #     RewriteEngine On
    #     RewriteCond %{HTTP_REFERER} !^https?://(www\.)?tudominio\.com [NC]
    #     RewriteCond %{REQUEST_FILENAME} -f
    #     RewriteRule \.php$ - [F,L]
    # </IfModule>
</Files>

# Bloquear archivos sensibles no-PHP
<FilesMatch "\.(log|sql|bak|old)$">
    Deny from all
</FilesMatch>

# Prevenir acceso directo a archivos de configuración si los hay
<Files "*.config.php">
    Deny from all
</Files>

# Ocultar todo el directorio de listados
IndexIgnore *