Verstecken von PHP

Generell ist Sicherheit durch Unklarheit eine der schwächsten Formen von Sicherheit . Aber in manchen Fällen ist ein klein Wenig mehr an extra Sicherheit wünschenswert .

Ein paar einfache Techniken helfen PHP zu Verstecken , um einen nach Schwächen in Ihrem System suchenden Angreifer möglicherweise langsamer zu machen . Wenn Sie in Ihrer php.ini expose_php = off setzen , reduzieren Sie damit die ihm zur Verfügung stehenden Informationen .

Eine andere Taktik ist , den Webserver wie z.B . Apache entweder mittels einer .htaccess Direktive oder in der Apache Konfigurationsdatei selbst so konfigurieren , dass dieser verschiedene Dateitypen durch PHP parst . So können Sie irreführende Dateierweiterungen verwenden :

Beispiel 5-18 . PHP als andere Sprache ausgeben

 
#

 
Lasse

 
PHP

 
Code

 
wie

 
andere

 
Arten

 
von

 
Code

 
aussehen

 
AddType

 
application

 
/

 
x-httpd-php

 
.asp

 
.py

 
.pl



Oder komplett unklar machen:

Beispiel 5-19 . Verwenden von unbekannten Typen für PHP Dateierweiterungen

 
#

 
Lasse

 
PHP

 
Code

 
wie

 
unbekannte

 
Typen

 
aussehen

 
AddType

 
application

 
/

 
x-httpd-php

 
.bop

 
.foo

 
.133t



Oder verstecken Sie ihn als html Code, was einen leichten Performanceverlust bedeutet, da alle html Dateien durch die PHP Engine geparst werden:

Beispiel 5-20 . Verwenden von html Typen für PHP Dateierweiterungen

 
#

 
Lasse

 
PHP

 
code

 
wie

 
html

 
aussehen

 
AddType

 
application

 
/

 
x-httpd-php

 
.htm

 
.html



Um dies effektiv arbeiten zu lassen, müssen Sie Ihre PHP Dateien nach den obigen Dateierweiterungen umbenennen. Während dies eine Form der Sicherheit durch Verhüllung ist, ist es ein kleines präventives Maß mit ein paar Nachteilen.