RewriteEngine On
RewriteBase /prontuario/

# Bloqueia pastas sensíveis
RewriteRule ^(app|config)/ - [F,L]

# Bloqueia arquivos sensíveis comuns
<FilesMatch "^(\.env|\.git|error_log|.*\.sql|composer\.(json|lock))$">
  Require all denied
</FilesMatch>

# Se existir arquivo/pasta na raiz, não reescreve
RewriteCond %{REQUEST_FILENAME} -f [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^ - [L]

# Tudo que não existe vai para /public/
RewriteRule ^(.*)$ public/$1 [L]