A PHP elrejtése

Általában a rejtegetésen és félrevezetésen alapuló védelem az egyik leggyengébb formája a védekezésnek, azonban néha minden apró többlet kívánatos lehet.

Néhány egyszerű módszerrel elrejthető, hogy PHP-t használsz, így lassítva le a támadót, aki fel akarja deríteni a rendszer gyenge pontjait. A php.ini-ben az expose_php = off beállítással csökkentheted ezeket az információkat.

Másik taktika a webszerver (pl. apache) olyan beállítása a .htaccess-en vagy az apache konfigurációs fájlában, hogy különböző típusú fájlokat is PHP-n keresztül futtasson. Más félrevezető fájlkiterjesztéseket alkalmazására példa:

Példa 5-18. PHP elrejtése más nyelvként # úgy tűnik, mintha PHP helyett más szerver oldali alkalmazás futna AddType application/x-httpd-php .asp .py .pl

vagy egy teljesen ismeretlennel is eltakarható:

Példa 5-19. ismeretlen típusok használata PHP fájlok kiterjesztéseként # PHP kódok teljesen ismeretlen típusúnak tűnnek AddType application/x-httpd-php .bop .foo .133t

vagy html típus mögé is elrejthetők a PHP fájlok, ami csekély teljesítménycsökkenést okoz, mivel minden html oldal átmegy a PHP-n:

Példa 5-20. html típus használata PHP fájlkiterjesztésként # PHP kódok html típusúnak tűnnek AddType application/x-httpd-php .htm .html

Ahhoz, hogy ez jól működjön, minden PHP fájlt át kell nevezni a fenti kiterjesztések valamelyikének megfelelően. Mivel ez is az elrejtőzésen / ismeretlenségen alapuló védelmi forma, kevés hátránya mellett csekély megakadályozó intézkedést jelent.