Угрозы безопасности, связанные с публичной страницей phpinfo()?

Question

Угрозы безопасности, связанные с публичной страницей phpinfo()?

У меня есть общедоступная страница, которая просто

<?php phpinfo(); >

Я использую его для целей отладки, пока мы находимся в бета-версии, но есть ли какой-то вред, если оставить его доступным, когда он работает?

11

apache-2.2 php security phpinfo

Источник

siliconpi 25 окт '10 в 10:01

1 ответ

Решение

Другие вопросы по тегам apache-2.2 php security phpinfo

dunxd 25 окт '10 в 10:08 2010-10-25 10:08 · Accepted Answer · 2010-10-25 10:08

Это будет полностью зависеть от того, насколько вы уверены в своей установке PHP. Если вы думаете, что это отлично, даже если злоумышленник знает все о вашей установке PHP, вы можете оставить его на месте.

Но на самом деле, зачем вы все равно оставляете это в производственной системе? В вашей версии PHP могут быть эксплойты, о которых вы не знаете - люди могут сейчас или в будущем сканировать вашу версию PHP или определенные опции, которые вы включили, потому что они знают, как выполнить эти эксплойты. Таким образом, поддерживая это публично, вы добавили себя в их список.

Если вы хотите сохранить его, вы можете поместить его в каталог, защищенный паролем, или просто включить его, когда вам это нужно. Учитывая небольшую стоимость этих опций, я бы не рискнул держать их в открытом доступе.