隐藏 PHP

最新推荐文章于 2024-01-12 10:36:36 发布
最新推荐文章于 2024-01-12 10:36:36 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: PHP 文章标签: php .htaccess 扩展 apache html parameters
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abaowu/article/details/586783
版权

一般而言,通过隐藏的手段提高安全性被认为是作用不大的做法。但某些情况下,尽可能的多增加一份安全性都是值得的。

一些简单的方法可以帮助隐藏 PHP,这样做可以提高攻击者发现系统弱点的难度。在 php.ini 文件里设置 expose_php = off ,可以减少他们能获得的有用信息。

另一个策略就是让 web 服务器用 PHP 解析不同扩展名。无论是通过 .htaccess 文件还是 Apache 的配置文件,都可以设置能误导攻击者的文件扩展名:

例子 32-1. 把 PHP 隐藏为另一种语言

# 使PHP看上去像其它的编程语言
AddType application/x-httpd-php .asp .py .pl
或者干脆彻底隐藏它:

例子 32-2. 使用未知的扩展名作为 PHP 的扩展名

# 使 PHP 看上去像未知的文件类型
AddType application/x-httpd-php .bop .foo .133t
或者把它隐藏为 HTML 页面,这样所有的 HTML 文件都会通过 PHP 引擎,会为服务器增加一些负担:

例子 32-3. 用 HTML 做 PHP 的文件后缀

# 使 PHP 代码看上去像 HTML 页面
AddType application/x-httpd-php .htm .html
要让此方法生效,必须把 PHP 文件的扩展名改为以上的扩展名。这样就通过隐藏来提高了安全性,虽然防御能力很低而且有些缺点。

#######################################################
1.In order to get the PATH_INFO to work in order to pass parameters using a hidden program/trailing slash/"pretty url" in more recent versions of PHP you MUST add "AcceptPathInfo On" to your httpd.conf.

AddType application/x-httpd-php .php .html
AcceptPathInfo On

Try it out with your phpinfo page and you'll be able to search for PATH_INFO.

http://yourserver.com/myphpinfo.php/showmetheway

If you want to drop the .php use one or both of these:
DefaultType application/x-httpd-php
ForceType application/x-httpd-php
######################################################################
2.You could also do this in .htaccess when you use Apache and your configuration allows you to override :

<Files test>
   ForceType application/x-httpd-php
</Files>

That way, you can use the URL test?pop=true without having to fake it by using test/index.php.

See the Apache manual for more info: http://httpd.apache.org/docs/mod/mod_mime#forcetype
abaowu
关注
专栏目录
nginx简单配置隐藏php后缀(项目真实配置在主配置中情况)
qq_49416650的博客
08-25 2238
php隐藏后缀
nginx一招配置,帮你快速隐藏php后缀名
qq_40907977的博客
05-20 3689
转载来源 : nginx一招配置,帮你快速隐藏php后缀名 :http://www.safebase.cn/article-260260-1.html 摘要: 现在很多人都喜欢用nginx作为Web服务器部署网站,nginx配置起来也是相当的方便,如果你的网站是PHP语言开发的话,下面我们教大家简单的一招快速的隐藏网页的php后缀名,实现一种Pretty URL。使用nginx的try_files指令轻松搞定。在你的nginx配置文件(nginx.conf)里加上一句配置:location / {ttr
隐藏PHP版本
huxyc的博客
04-27 962
一个潜在的安全威胁是HTTP响应头中的PHP版本信息泄漏。默认情况下,Apache网站服务器通过HTTP响应头中的“X-Powered-By”字段包含有PHP版本信息。如果你想要在HTTP头部中隐藏PHP版本,请使用文本编辑器打开php.ini文件,找到“expose_php = On”这一行,将它改为“expose_php = Off”即可。 修改php.ini配置文件 修改后的效果 ...
expose php,(总结)隐藏PHP版本与PHP基本安全设置
weixin_35747785的博客
03-09 2420
为了安全起见,最好还是将PHP版本隐藏,以避免一些因PHP版本漏洞而引起的攻击。1、隐藏PHP版本就是隐藏 “X-Powered-By: PHP/5.2.13” 这个信息。方法很简单:编辑php.ini配置文件,修改或加入: expose_php = Off 保存后重新启动Nginx或Apache等相应的Web服务器即可。[root@bkjz /]# curl -I www.ha97.comHTT...
APACHE隐藏PHP文件的PHP后缀的一种实现方法
Niocho的博客
10-14 2774
APACHE隐藏PHP文件的PHP后缀 如果不想让别人知道你的网站使用PHP程序以达到安全的目的.你可以按照下面的方法配置你的httpd.conf文件 但这并不说明PHP不安全. 你可以使用下面的方法来达到隐藏的目的: 1.将PHP隐藏为其它语言 在你的httpd.conf里任意位置添加下面这一行 #Make PHP code look like other code types AddType...
apache、nginx、php 隐藏版本号
最新发布
hmx224_2014的专栏
01-12 1407
一般情况下,软件的漏洞信息和特定版本,特定操作系统是相关的,因此,软件的版本号以及操作系统类型对攻击者来说是很有价值的。修改后的结果如下图所示,已经没有系统类型信息了,仅仅返回了一个403错误。1.1 主配置中启用httpd-default.conf。不知道具体位置,可以搜索主配置httpd.conf。这样做会造成潜在的安全风险,导致不必要的攻击行为。1.2 修改httpd-default.conf。3.3 对应的X-Powered-By 参数消失。修改完成后,重启Apache2的服务。
nginx下tp6多应用URL隐藏php入口文件
xiaomeixiannv的博客
07-30 1040
后台原URLhttps//www.miyuwu.com/admin.php/list,目标效果https//www.miyuwu.com/admin/list。前台原URLhttps//www.miyuwu.com/index.php/list,目标效果https//www.miyuwu.com/list。改成$response=$http->name('index')->run();在public目录下新建后台入口文件admin.php,可以直接复制index.php。...
php做姓名隐藏,PHP只显示姓名首尾字符,隐藏中间字符并用*替换
weixin_29577845的博客
04-01 1406
一、代码如下:/*** @desc 只保留字符串首尾字符,隐藏中间用*代替(两个字符时只显示第一个)* @param $userName* @return string** @author ljl 2020-05-27*/public function substrCut($userName){$strlen = mb_strlen($userName, 'utf-8');$firstStr = ...
PHP需要隐藏手机号的两种方式
Tanjingzhao859的博客
04-20 1028
PHP需要隐藏手机号的两种方式
隐藏php文件后缀资料
wuliao_00的专栏
06-30 1603
隐藏PHP还可以把你在使用PHP 来驱动网站的这一事实隐藏起来,或者至少不那么明显。使用expose_php指令就能避免将php版本信息追加到Web 服务器签名的最后。不允许访问phpinfo()可以防止攻击者得到你的软件版本号和其他重要信息。通过改变文档扩展名,使得这些页面映射到PHP 脚本不容易被看出来。 1.expose_php=On|Off 作用域:PHP_INI_SYSTEM;默认
教你在header中隐藏php的版本信息
10-21
首先,我们需要了解为什么隐藏PHP版本信息如此重要。当PHP生成HTTP响应时,它会在header中包含“X-Powered-by”字段,显示PHP的版本号,如"X-Powered-by: php/5.3.3"。这种信息公开性使得潜在的攻击者能够识别服务器...
在Linux系统的服务器上隐藏PHP版本号的方法
10-24
因此,隐藏PHP版本号成为了服务器安全维护中的一个关键步骤。 要隐藏PHP的版本信息,首先需要了解的是PHP配置文件php.ini中的expose_php配置项。该配置项默认情况下是开启的,这意味着PHP会在生成的Web服务头中包含...
隐藏你的.php文件的实现方法
10-30
### 隐藏PHP文件的实现方法 在网络安全领域中,隐藏服务器端使用的脚本语言类型是一种常见的保护策略,尤其对于使用PHP开发的应用程序而言更是如此。通过隐藏PHP文件的扩展名,可以降低黑客针对特定技术栈进行攻击...
MVC模式、类封装还是黑客代码
热门推荐
阿宝
09-07 3万+
面临难题编码对于合格的PHP程序员来说并不是什么难事(也许只是花费时间长短的问题),因此系统分析和设计这一阶段就显得尤为重要。对于一个担任PHP项目的系统分析员来说,面临着两个难题:PHP语言本身的限制。这一点在复杂系统的面向对象设计中尤其显著。PHP的面向对象特性在现有版本中虽然得到了改善,但是还不甚健全,根本不足以担任面向对象设计的实现语言;即使眼光长远一些,在即将释出的以Zend E
GD库的安装
阿宝
09-20 4531
GD库的安装2004-04-23 15:18 pm作者:iHero来自:Linux知识宝库现载:http://www.douzhe.com/linuxtips/913.html地址:无名  使php支持 gif , jpeg , ttf ,wbmp  为了安装方便,我自己写了一分GD安装的过程,现在发表出来.希望朋友们多提意见,谢谢! 原来GD不支持WBMP,现在扩充GD支持WBMP.问题:  安
PHPBB MOD for Google 完全解决方案
阿宝
12-17 3919
作者:Trotter 邮箱:trotter@kekerde.net 出处:www.gbunix.com 转载请保持文档完整,注明出处。 前言   随着互联网上的内容以惊人速度的增长也越来越突出了搜索引擎的重要性,如果网站想更好地被搜索引擎收录,网站设计除了面向用户友好(User Friendly)外,搜索引擎友好(Search Engine Friendly)的设计也是非常重要的。进入搜索引擎的页
PHP做的IP归属地查询程序,文本数据库
阿宝
06-29 3627
执行程序: PHP //IP数据所在的目录 $ipdata = "ipdata"; /**//* 功能:IP归属地查询 */ //------------------- function Ip2Area($ipdata,$cur_ip) {     $sect=explode(".",$cur_ip);     for ($i=0; $i4; $i++)     {         $sect[$
如何对PHP程序中的常见漏洞进行攻击(上)
阿宝
07-20 3074
如何对PHP程序中的常见漏洞进行攻击(上) 创建时间:2001-07-17 文章属性:翻译 文章来源:http://www.china4lert.org/ 文章提交:analysist (analysist_at_china.com) 如何对PHP程序中的常见漏洞进行攻击(上) 原著:Shaun Clowes " target="_blank">http://www.securereality.c
MSN Search API PHP ClientPosted
阿宝
03-25 2656
MSN Search API PHP ClientPosted by mariano.iglesias in Programming, PHP2005-09-15 @ 17:34:36Microsoft has recently published their own MSN Search API (now competing with Google and Yahoo) implemente
apache隐藏php版本信息
03-31
隐藏Apache服务器的PHP版本信息,可以通过以下步骤: 1. 打开Apache的配置文件 httpd.conf 2. 找到以下行: ``` ServerTokens OS ``` 3. 将其替换为以下行: ``` ServerTokens Prod ``` 4. 找到以下行: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值