Döljning av PHP

Från Wiki.linux.se
Hoppa till navigering Hoppa till sök

Dölja PHP

Generellt sett är säkerhet genom obscuritet en av de svagaste formerna av säkerhet. Men i vissa fall kan varje liten extra säkerhetsåtgärd vara önskvärd.

Några enkla tekniker kan hjälpa till att dölja PHP, vilket möjligen saktar ner en angripare som försöker upptäcka svagheter i ditt system. Genom att ställa in `expose_php` till `off` i din `php.ini`-fil, minskar du mängden tillgänglig information för dem.

En annan taktik är att konfigurera webbservrar som Apache att tolka olika filtyper genom PHP, antingen med en `.htaccess`-direktiv eller i Apache-konfigurationsfilen själv. Du kan då använda vilseledande filändelser:

Exempel #1 Dölja PHP som ett annat språk

# Få PHP-kod att se ut som andra kodtyper
AddType application/x-httpd-php .asp .py .pl

Eller gör det helt oigenkännligt:

Exempel #2 Använda okända typer för PHP-tillägg

# Få PHP-kod att se ut som okända typer
AddType application/x-httpd-php .bop .foo .133t

Eller dölj det som HTML-kod, vilket har en liten prestandaförlust eftersom all HTML kommer att tolkas genom PHP-motorn:

Exempel #3 Använda HTML-typer för PHP-tillägg

# Få all PHP-kod att se ut som HTML
AddType application/x-httpd-php .htm .html

För att detta ska fungera effektivt måste du byta namn på dina PHP-filer med ovanstående tillägg. Även om det är en form av säkerhet genom obscuritet, är det en mindre förebyggande åtgärd med få nackdelar.


Sidslut

Orginalhemsidan på Engelska :https://www.php.net/manual/en/security.hiding.php
PHP
Säkerhet


Det här är en maskinöversättning av PHP-manualen till svenska. Om du hittar fel är vi tacksamma om du rapporterar dem via formuläret som finns på https://www.linux.se/kontaka-linux-se/

Tack till Datorhjälp.se som har sponsrat Linux.se med webserver.