私は独学のコーダーであり、PHPになっているので、これが基本的な問題である場合は私をよろこんでください。phpファイル拡張子:セキュリティ上の問題?
私は、phpを使用して小さなサイトをまとめ、phpファイル拡張子を使用しています。 index.php。しかし、私は最近、ページアドレスの 'php'は安全性に乏しいと言われています。
なぜこのような場合があるのかを簡単に説明できますか?はになるはずですか?
MTIA。
私は独学のコーダーであり、PHPになっているので、これが基本的な問題である場合は私をよろこんでください。phpファイル拡張子:セキュリティ上の問題?
私は、phpを使用して小さなサイトをまとめ、phpファイル拡張子を使用しています。 index.php。しかし、私は最近、ページアドレスの 'php'は安全性に乏しいと言われています。
なぜこのような場合があるのかを簡単に説明できますか?はになるはずですか?
MTIA。
それはそれはちょうどあなたのアプリはPHPで書かれているサイトを閲覧誰かに伝え、彼らは、その後のアイデアを持っているので、それが攻撃者を助け、本当に重要ではありません何を攻撃するか。
mod_rewriteを使用すると、拡張子が.phpではないリクエストを対象のPHPスクリプトに書き換えることができます。これを行う場合は、php.iniのexpose_php
も無効にする必要があります。
これは本当にあなたのアプリをより安全にするわけではないことに注意してください。攻撃者が物事を把握するのが難しくなります。
あなたが使用している技術を難読化することは、アプリケーションとそのインフラストラクチャを保護することに代わるものではありません。 PHPファイルの拡張子を隠すことは、コードとサーバーを保護するために取るべき多くのステップのリストの1つの詳細な項目でなければなりません。
全体の書籍は、PHPのセキュリティトピックで書かれています。ここで開始するには良い1だ:
http://www.amazon.com/Essential-PHP-Security-Chris-Shiflett/dp/059600656X/ref=pd_sim_b_2
ページ名に.phpを付けると、あなたのサイトがPHP上で動作することを世界に知らせることになります。あなたのサイトを攻撃することに興味がある人は、あなたが走っているものを考え出す余分な時間とエネルギーを費やす必要はありません。
しかし、これは大きな問題ではありません。あなたを攻撃することで地獄に屈した誰かがすぐにそれを把握します。
間違いセキュリティ上の観点からは、サイトを訪問したすべての人に実際にどの技術(スクリプト言語)を使用してサイトを構築しているかを伝えるだけです。他のすべては、ユーザがそれがPHPであることを知っている可能性が高いことに起因します(例えば、攻撃者がいくつかのPHPコーダによって引き起こされるいくつかの一般的な間違いを悪用しようとするかもしれません)。
しかし、あなたは簡単に拡張子を例えばに変更することができます。 .asp
をmod_rewrite
(see more)とします。
あなたは間違っていると言われました – Phil