Generell ist Sicherheit durch Unklarheit eine der schwächsten Formen von Sicherheit. Aber in manchen Fällen ist ein klein wenig mehr an extra Sicherheit wünschenswert.
Ein paar einfache Techniken helfen, PHP zu verstecken, um einen nach Schwächen in Ihrem System suchenden Angreifer möglicherweise langsamer zu machen. Wenn Sie in Ihrer php.ini expose_php = off
setzen, reduzieren Sie damit die ihm zur Verfügung stehenden Informationen.
Eine andere Taktik ist, den Webserver wie zum Beispiel Apache entweder mittels einer .htaccess-Direktive oder in der Apache-Konfigurationsdatei selbst so zu konfigurieren, dass dieser verschiedene Dateitypen durch PHP parst. So können Sie irreführende Dateierweiterungen verwenden:
# Lasse PHP-Code wie andere Arten von Code aussehen
AddType application/x-httpd-php .asp .py .pl
Oder komplett unklar machen:
# Lasse PHP Code wie unbekannte Typen aussehen
AddType application/x-httpd-php .bop .foo .133t
Oder verstecken Sie ihn als HTML-Code, was einen leichten Performanceverlust bedeutet, da alle HTML-Dateien durch die PHP-Engine geparst werden:
# Lasse PHP code wie html aussehen
AddType application/x-httpd-php .htm .html
Um dies effektiv arbeiten zu lassen, müssen Sie Ihre PHP-Dateien nach den obigen Dateierweiterungen umbenennen.
webphp
Weitere News:
Coole Sache?
codekicker.de braucht deine Hilfe: Like uns und klicke auf den +1-Button!
PHP-Journal
Das PHP-Journal vermittelt praxisrelevantes Wissen für Entwickler von Web-Applikationen, für Content- und Online-Manager, Agenturen und Webmaster. Neben Praxisartikeln zu Programmiertechniken und Schnittstellen werden im PHP-Journal auch angrenzende Themen wie modernes Webdesign mit AJAX, Aufbau und Betrieb von Web 2.0-Communities und erfolgreiches Online-Marketing zum Beispiel über Suchmaschine-Optimierung behandelt.
