Ascunderea PHP

În general, securitatea prin obscuritate este una dintre cele mai slabe forme de securitate. Dar în unele cazuri se dorește orice sporire, cât de mică a securității.

Câteva tehnici simple pot ajuta la ascunderea PHP, posibil încetinind un atacator care încearcă să descopere puncte slabe în sistemul dumneavoastră. Stabilind expose_php = off în fișierul php.ini, puteți reduce cantitatea de informații trimisă de server.

O altă tactică este configurarea serverelor web, cum ar fi Apache să prelucreze și să interpreteze diferite tipuri de fișiere cu PHP, fie printr-o directivă .htaccess, fie direct în configurația Apache. Apoi puteți utiliza extensii de fișiere, care să inducă în eroare:

Example #1 Ascunderea PHP ca alt limbaj de scripting

# Face codul PHP să arate ca alte limbaje de programare web
AddType application/x-httpd-php .asp .py .pl
Sau ascunderea lui completă:

Example #2 Utilizarea tipurilor necunoscute în calitate de extensii PHP

# Face codul PHP să aibă extensii ciudate
AddType application/x-httpd-php .bop .foo .133t
Sau deghizarea drept cod HTML, dar acest lucru are un impact minor asupra performanței, deoarece tot codul HTML va fi procesat de motorul PHP:

Example #3 Folosirea tipurilor HTML pentru extensiile PHP

# Face codul PHP să arate ca HTML
AddType application/x-httpd-php .htm .html
Pentru ca această modificare să funcționeze eficient, trebuie să redenumiți toate fișierele PHP cu extensiile de mai sus. În timp ce aceasta reprezintă o formă a securității prin obscuritate, este o măsură de prevenire minoră, cu mici neajunsuri.