1. дома
  2. Вопрос и ответ
  3. Расширения php-файлов: проблема с безопасностью?

Расширения php-файлов: проблема с безопасностью?

2011-05-27 2 views
1

Я самоучка кодера, и я попал в php, поэтому, пожалуйста, извините меня, если это основная проблема/вопрос.Расширения php-файлов: проблема с безопасностью?

Я собирал небольшие сайты с использованием php и с помощью расширений php-файлов, т.е. index.php. Но мне недавно сказали, что «php» в адресе страницы не подходит для безопасности.

Может кто-нибудь коротко объяснить, почему это может быть так, и что я должен делать ?

MTIA.

источник

2011-05-27 circey

+2

Вам сказали неправильно – Phil

ответ

5

Это не действительно важно, это просто говорит кто-то просматривая сайт, что ваше приложение написано в PHP, и это помогает злоумышленнику, потому что тогда они имеют представление о том, что напасть.

Если вы хотите скрыть его, вы можете использовать mod_rewrite для переписывания запросов, у которых нет расширения .php для целевого PHP-скрипта. Если вы собираетесь это сделать, вы также должны отключить expose_php в php.ini.

Обратите внимание, что это не делает ваше приложение более безопасным, это просто делает его немного более трудным для злоумышленника, чтобы понять вещи.

источник

2011-05-27 03:00:03

+0

Приложение может быть написано во что угодно. Просто потому, что URI заканчивается на '.php', это не означает ничего. Он может отображать на Java, Ruby, C++, Perl, что угодно. – Phil

+0

Спасибо El Yobo - это помогает. – circey

+0

@ Это правда! Но я думаю, если это похоже на утку ... – circey

1

Obfuscating, какая технология вы используете, не заменит ваше приложение и его инфраструктуру. Скрытие расширения файла PHP должно быть одним детальным в списке многих шагов, которые необходимо предпринять для защиты вашего кода и сервера.

Все книги написаны по темам безопасности PHP. Вот хороший один, чтобы начать с:

http://www.amazon.com/Essential-PHP-Security-Chris-Shiflett/dp/059600656X/ref=pd_sim_b_2

источник

2011-05-27 02:59:12

1

Имея .php в названии страницы, вы объявляете миру, что ваш сайт работает на PHP. Любой, кто заинтересован в нападении на ваш сайт, не должен тратить лишнее время и энергию на то, что вы используете.

Однако это не ОСНОВНАЯ проблема. Кто-то, кто напал на вас, нападет на вас, скоро это выяснит.

источник

2011-05-27 03:00:42 JCL1178

1

Единственная причина, по которой это может быть неверно с точки зрения безопасности, заключается в том, что она фактически сообщает всем, кто посещает сайт, какую технологию (язык сценариев) использовали для создания сайта. Все остальное связано с большей вероятностью того, что пользователь знает, что это PHP (например, злоумышленник может попытаться использовать некоторые распространенные ошибки, сделанные некоторыми PHP-кодами).

Однако вы можете легко изменить расширение, например. .asp с использованием mod_rewrite (see more).

источник

2011-05-27 03:05:03 Tadeck

Смежные вопросы

 Смежные вопросы