Verstecken von PHP
Generell
ist
Sicherheit
durch
Unklarheit
eine
der
schwächsten
Formen
von
Sicherheit
.
Aber
in
manchen
Fällen
ist
ein
klein
Wenig
mehr
an
extra
Sicherheit
wünschenswert
.
Ein
paar
einfache
Techniken
helfen
PHP
zu
Verstecken
,
um
einen
nach
Schwächen
in
Ihrem
System
suchenden
Angreifer
möglicherweise
langsamer
zu
machen
.
Wenn
Sie
in
Ihrer
php.ini
expose_php
=
off
setzen
,
reduzieren
Sie
damit
die
ihm
zur
Verfügung
stehenden
Informationen
.
Eine
andere
Taktik
ist
,
den
Webserver
wie
z.B
.
Apache
entweder
mittels
einer
.htaccess
Direktive
oder
in
der
Apache
Konfigurationsdatei
selbst
so
konfigurieren
,
dass
dieser
verschiedene
Dateitypen
durch
PHP
parst
.
So
können
Sie
irreführende
Dateierweiterungen
verwenden
:
Beispiel
5-18
.
PHP
als
andere
Sprache
ausgeben
#
Lasse
PHP
Code
wie
andere
Arten
von
Code
aussehen
AddType
application
/
x-httpd-php
.asp
.py
.pl
|
|
Oder komplett unklar machen:
Beispiel
5-19
.
Verwenden
von
unbekannten
Typen
für
PHP
Dateierweiterungen
#
Lasse
PHP
Code
wie
unbekannte
Typen
aussehen
AddType
application
/
x-httpd-php
.bop
.foo
.133t
|
|
Oder verstecken Sie ihn als html Code, was einen leichten
Performanceverlust bedeutet, da alle html Dateien durch die PHP
Engine geparst werden:
Beispiel
5-20
.
Verwenden
von
html
Typen
für
PHP
Dateierweiterungen
#
Lasse
PHP
code
wie
html
aussehen
AddType
application
/
x-httpd-php
.htm
.html
|
|
Um dies effektiv arbeiten zu lassen, müssen Sie Ihre PHP Dateien
nach den obigen Dateierweiterungen umbenennen. Während dies eine
Form der Sicherheit durch Verhüllung ist, ist es ein kleines
präventives Maß mit ein paar Nachteilen.