Скрытие PHP

В общем случае, скрытие - самая слабая форма системы безопасности. Но в некоторых случаях необходима любая малость.

Есть несколько приемов, позволяющих скрыть PHP, что замедлит действия злоумышленника, пытающегося обнаружить слабости в вашей системе. Установка в файле php.ini опции expose_php = off уменьшит количество доступной информации.

Другая тактика - настройка сервера Web (вроде Apache) для обработки различных типов файлов с помощью PHP. Это делается через директивы .htaccess или через файл конфигурации Apache. Затем можно использовать "отвлекающие" расширения файлов:

Пример 5-18. Скрытие PHP под видом другого языка

# Делаем код PHP похожим на код других языков
AddType application/x-httpd-php .asp .py .pl
Или вносим путаницу:

Пример 5-19. Использование неизвестных расширений для PHP

# Делаем PHP ни на что не похожим
AddType application/x-httpd-php .bop .foo .133t
Или даже можно скрыть PHP под видом html, что приведет к небольшой потере производительности, поскольку все .html-файлы будут обрабатываться интерпретатором PHP.

Пример 5-20. Использование расширений html для PHP

# Делаем PHP похожим на html
AddType application/x-httpd-php .htm .html
Чтобы все это работало, надо переименовать файлы PHP в файлы с вышеперечисленными расширениями. Хотя это и подвид безопасности через скрытие, это одна из мер предотвращения атак с минимумом известных минусов.