Скрытие PHP
В общем случае, скрытие - самая слабая форма системы безопасности. Но в
некоторых случаях необходима любая малость.
Есть несколько приемов, позволяющих скрыть PHP, что замедлит действия
злоумышленника, пытающегося обнаружить слабости в вашей системе.
Установка в файле php.ini опции expose_php = off уменьшит количество
доступной информации.
Другая тактика - настройка сервера Web (вроде Apache) для обработки
различных типов файлов с помощью PHP. Это делается через директивы
.htaccess или через файл конфигурации Apache. Затем можно использовать
"отвлекающие" расширения файлов:
Пример 5-18. Скрытие PHP под видом другого языка # Делаем код PHP похожим на код других языков
AddType application/x-httpd-php .asp .py .pl |
|
Или вносим путаницу:
Пример 5-19. Использование неизвестных расширений для PHP # Делаем PHP ни на что не похожим
AddType application/x-httpd-php .bop .foo .133t |
|
Или даже можно скрыть PHP под видом html, что приведет к небольшой
потере производительности, поскольку все .html-файлы будут обрабатываться
интерпретатором PHP.
Пример 5-20. Использование расширений html для PHP # Делаем PHP похожим на html
AddType application/x-httpd-php .htm .html |
|
Чтобы все это работало, надо переименовать файлы PHP в файлы с
вышеперечисленными расширениями. Хотя это и подвид безопасности через
скрытие, это одна из мер предотвращения атак с минимумом известных минусов.