ホームページ >バックエンド開発 >PHPチュートリアル >PHPでサフィックス(.PHP)を非表示にする方法と手順
PHP を非表示にする
Web サイトの強化に PHP を使用しているという事実を非表示にしたり、少なくとも目立たなくすることもできます。 Web サーバー署名の末尾に PHP バージョン情報が追加されないようにするには、expose_php ディレクティブを使用します。 phpinfo() へのアクセスを禁止すると、攻撃者がソフトウェアのバージョン番号やその他の重要な情報を取得できなくなります。ドキュメント拡張子を変更すると、これらのページが PHP スクリプトにマップされていることがわかりにくくなります。
1.expose_php=On|Off
スコープ: PHP_INI_SYSTEM、デフォルト値: オン。
有効にすると、PHP ディレクティブ Expose_php によってサーバー署名に詳細が追加されます。たとえば、ServerSignature が有効で、ServerTokens が Full に設定され、このディレクティブが有効な場合、サーバー署名ファイルの関連部分は次のようになります:
Apache/2.0.44(Unix) DAV/2 PHP/5.0。 0b3-dev サーバー (www.example.com ポート 80)
expose_php が無効の場合、サーバー署名は次のようになります:
Apache/2.0.44(Unix) DAV/2 サーバー (www.example.com ポート 80)
#2. phpinfo() 呼び出しのすべてのインスタンスを削除します。 phpinfo() 関数は、指定したサーバー上の PHP 構成の概要を表示するための優れたツールを提供します。ただし、これらのファイルはサーバー上で保護されていないため、攻撃者にとっては宝の山となります。たとえば、この関数は、オペレーティング システム、PHP および Web サーバーのバージョン、構成フラグ、および使用可能なすべての拡張機能とそのバージョンに関する詳細レポートに関する情報を生成できます。攻撃者がこの情報へのアクセスを許可されている場合、潜在的な攻撃の脆弱性が発見され、悪用される可能性が高くなります。
残念ながら、多くの開発者はこれらの脆弱性に気づいていないか、気にしていないようです。検索エンジンに phpinfo.php と入力するだけで約 336,000 件の結果が得られ、その多くが phpinfo( ) command.file に含まれるため、サーバーに関する豊富な情報が提供されます。以前の脆弱な PHP バージョンの場合。検索用語をすばやく変更し、他のキーワードを追加するだけで、元の結果のサブセットを取得できます。これらは、既知の安全でないバージョンの PHP、Apache、IIS、およびサポートされているさまざまな拡張機能を使用しているため、これが攻撃の主なターゲットになります。
他の人が phpinfo() の結果を閲覧できるようにすることは、基本的に、サーバーの多くの技術的機能と欠陥をリストしたロードマップを一般の人々に提供することになります。怠けてこのファイルを削除したり保護しなかったからといって、攻撃の被害に遭わないようにしてください。
3.ドキュメント拡張子の変更 PHP 対応ドキュメントは通常、固有の拡張子によって識別できます。最も一般的な拡張子には次のものがあります。 php、php3、および. html。これは、希望する別の拡張子に簡単に変更できることをご存知ですか? .html、.asp などに変更することもできます。 jsp? このためには、httpd.conf ファイル内の次の行を変更するだけです:
Addtype application/x-httpd-php .php
必要な拡張子を追加します (例:
AddType application/x) - httpd-php .asp
もちろん、
これにより、インストールされている他のサーバー テクノロジと競合が発生しないようにしてください。
PHP チュートリアル 列にアクセスして学習してください。
以上がPHPでサフィックス(.PHP)を非表示にする方法と手順の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。