Простая техника может помочь спрятать PHP, усложняя работу хакера,
пытающегося найти бреши в вашей системе. Установив expose_php = off в вашем файле php.ini,
вы уменьшите количество доступной ему информации.
Другая тактика - конфигурировать web-серверы, такие как Аpache, для разбора
файлов различных типов через PHP, либо директивой .htaccess, либо в самом
файле конфигурации Аpache. Вы сможете тогда использовать необычные расширения файлов:
Пример 4-18. Скрытие PHP под видом другого языка
# Сделать код PHP выглядящим как коды других типов
AddType application/x-httpd-php .asp .py .pl |
|
Или скрыть его совсем:
Пример 4-19. Использование неизвестных типов для расширений PHP-файлов
# Сделать код PHP выглядящим как коды неизвестных типов
AddType application/x-httpd-php .bop .foo .133t |
|
Или спрятать его как html-код, который будет работать несколько
медленнее, поскольку весь html будет раздираться через PHP-машину:
Пример 4-20. Использование html-типов для расширений PHP
# Сделать код PHP выглядящим как html
AddType application/x-httpd-php .htm .html |
|
Чтобы это эффективно работало, вы обязаны переименовать ваши PHP-файлы с
вышеуказанными расширениями. Поскольку это форма безопасности через скрытие,
она имеет мало недостатков при небольших затратах. |