隐蔽PHP
还能够把你在运用PHP 来驱动网站的这一现实隐蔽起来,或许最少不那么显著。运用expose_php指令就可以防备将php版本信息追加到Web 服务器署名的末了。不许可接见phpinfo()能够防备进击者获得你的软件版本号和其他重要信息。经由历程转变文档扩大名,使得这些页面映射到PHP 剧本不容易被看出来。
1.expose_php=On|Off
作用域:PHP_INI_SYSTEM;默认值:On。
启用时,PHP指令expose_php将细节追加到服务器署名背面。比方,假如启用了ServerSignature,ServerTokens设置为Full,而且启用了此指令,服务器署名档有关部份以下:
Apache/2.0.44(Unix) DAV/2 PHP/5.0.0b3-dev Server at www.example.com Port 80
假如expose_php被禁用,则服务器署名以下所示:
Apache/2.0.44(Unix) DAV/2 Server at www.example.com Port 80
2.删除phpinfo() 挪用的一切实例
phpinfo()函数供应了一个很棒的东西,可用于在指定服务器上检察PHP 设置的总结。然则,由于在服务器上未加庇护,这些文件关于进击者来讲实可谓是一个金矿。比方,这个函数能生成操作系统、PHP 和Web 服务器版本、设置标志的有关信息,还能生成关于一切可用扩大及其版本的细致报告。假如许可进击者接见此信息,就更有能够发明并应用潜伏的进击破绽。
遗憾的是,好像许多开发人员没有意想到或不关心这些破绽,由于只要在搜刮引擎中键入phpinfo.php,将获得约莫336 000 个效果,个中许多链接直接指向实行phpinfo()敕令的文件,因此供应了关于服务器的大批信息。关于初期软弱的PHP 版本。只需疾速地修正搜刮前提,到场其他关键词,就可以获得本来效果的一个子集,而这将成为进击的重要对象,由于他们运用了已知不安全的PHP 、Apache 、IIS版本和种种所支撑的扩大。
许可其他人检察phpinfo()的效果,这实质上相当于向民众供应一个路线图,个中列出了你的服务器的许多手艺特征和缺点。不要仅仅由于懒散未能删除或庇护这个文件而成为进击的牺牲品。
3.修正文档扩大名
启用PHP的文档平常经由历程其奇特的扩大名就可以辨认,最常见的包含.php、php3 和.phtml 。你晓得这能够很容易地改成你愿望的其他扩大名吗?以至能够改成是.html、.asp或许.jsp?,为此只要在httpd.conf 文件中修正以下一行:
Addtype application/x-httpd-php .php
增加所愿望的任何扩大名,比方:
AddType application/x-httpd-php .asp
固然,要确保这不会致使与其他装置的服务器手艺相冲突。
更多PHP相干手艺文章,请接见PHP教程栏目举行进修!
以上就是php隐蔽后缀(.PHP)的要领历程的细致内容,更多请关注ki4网别的相干文章!
