PHPスクリプト拡張機能を非表示にする

一般的に、隠れた手段によるセキュリティの向上はほとんど効果がないと考えられています。ただし、場合によっては、できるだけ多くのセキュリティを追加する価値があります。

いくつかの簡単な方法は PHP を隠すのに役立ち、攻撃者がシステムの弱点を発見するのをより困難にすることができます。 php.ini ファイルで Expose_php = off を設定すると、取得できる有用な情報が減少します。

もう 1 つの戦略は、PHP を使用して Web サーバーにさまざまな拡張機能を解析させることです。 .htaccess ファイルまたは Apache 設定ファイルのどちらを使用しても、攻撃者に誤解を与える可能性のあるファイル拡張子を設定できます:

例 #1 PHP を別の言語として非表示にする

# 使PHP看上去像其它的编程语言
AddType application/x-httpd-php .asp .py .pl

または完全に非表示にする:

例 # 2 未知の拡張子を PHP として使用する拡張子

# 使 PHP 看上去像未知的文件类型
AddType application/x-httpd-php .bop .foo .133t

を付けるか、HTML ページとして非表示にして、すべての HTML ファイルが PHP エンジンを通過するようにします。これにより、サーバーに負担がかかります:

例 #3 HTML を使用して PHP ファイルを作成する サフィックス

# 使 PHP 代码看上去像 HTML 页面
AddType application/x-httpd-php .htm .html

この場合このメソッドを有効にするには、PHP ファイルの拡張子を上記の拡張子に変更する必要があります。これにより、隠蔽によりセキュリティが向上しますが、防御能力が低く、いくつかの欠点があります。