PHP彩蛋信息介紹和阻止泄漏的方法(隱藏功能)
Easter Eggs(復(fù)活節(jié)彩蛋)外行人估計不了解這是神木玩意,彩蛋的網(wǎng)絡(luò)解釋是:用于電腦、電子游戲、電腦游戲、影碟或其他互動多媒體之中的隱藏功能或信息。PHP包含一個安全漏洞,可能導(dǎo)致未經(jīng)授權(quán)的信息披露,如果你正在運(yùn)行PHP,就有可能會被人發(fā)現(xiàn)PHP版本和其他敏感信息。我覺得有必要解決這個彩蛋問題來確保你網(wǎng)站的安全性。
PHP彩蛋是如何運(yùn)作的
只要運(yùn)行PHP的服務(wù)器上,訪問任何網(wǎng)頁都可以在域名后添加以下字符串來查看信息:
?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 (PHP信息列表)
?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 (PHP的LOGO)
?=PHPE9568F35-D428-11d2-A769-00AA001ACF42 (Zend LOGO)
?=PHPE9568F36-D428-11d2-A769-00AA001ACF42 (PHP LOGO 藍(lán)色大象)
當(dāng)然,如果漏洞存在才可以通過以上來查看到信息,現(xiàn)在一般網(wǎng)站都已經(jīng)屏蔽了。但如果存在說明其expose_php是啟用狀態(tài),PHP將生成頁面發(fā)送出PHP版本信息,這樣一些”壞人”就知道了你的版本號來利用已知的版本漏洞來進(jìn)行攻擊。
如何阻止彩蛋
一般情況下如果你的服務(wù)器支持編輯php.ini文件,我們可以把php.ini里的expose_php設(shè)為Off就可以屏蔽了。如果你不能操作php.ini文件,也可以通過設(shè)置.htaccess來進(jìn)行屏蔽。
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC]
RewriteRule .* - [F]
通過以上兩種方法,我們可以屏蔽一些PHP信息,一些服務(wù)器默認(rèn)設(shè)置expose_php是開啟的,所以來看我這篇文章的朋友們最好是把它關(guān)閉了。
Really appreciate it Jeff Starr‘s post expose_php, Easter Eggs, and .htaccess.
示例:
相關(guān)文章
PHP正則表達(dá)式 /i, /is, /s, /isU等介紹
PHP正則表達(dá)式 /i, /is, /s, /isU等,都代表著什么意思,你知道嗎?下面為大家詳細(xì)介紹下2014-10-10PHP使用finfo_file()函數(shù)檢測上傳圖片類型的實(shí)現(xiàn)方法
這篇文章主要介紹了PHP使用finfo_file()函數(shù)檢測上傳圖片類型的實(shí)現(xiàn)方法,結(jié)合實(shí)例形式分析了finfo_file()函數(shù)的功能、使用方法及相關(guān)注意事項(xiàng),需要的朋友可以參考下2017-04-04淺析PHP頁面局部刷新功能的實(shí)現(xiàn)小結(jié)
本篇文章是對PHP頁面局部刷新功能的實(shí)現(xiàn)進(jìn)行了詳細(xì)的分析介紹,需要的朋友參考下2013-06-06php實(shí)現(xiàn)圖片上傳并利用ImageMagick生成縮略圖
這篇文章主要為大家詳細(xì)介紹了php實(shí)現(xiàn)圖片上傳并利用ImageMagick生成縮略圖的相關(guān)資料,需要的朋友可以參考下2016-03-03利用PHP如何實(shí)現(xiàn)Socket服務(wù)器
想要構(gòu)建聊天應(yīng)用,或者甚至是游戲嗎?那么,socket服務(wù)器將成為你邁出的第一步。一旦你了解了創(chuàng)建服務(wù)器的基本功能,那么后續(xù)的優(yōu)化步驟就會變得同樣簡單,需要的朋友可以參考下2015-09-09