我是一个自学成才的程序员,正在学习php,所以如果这是一个基本问题/问题,请原谅我。
我一直在使用php和使用php文件扩展名(即index.php(将小型网站放在一起。但是我最近被告知页面地址中的"php"不利于安全性。
有人可以简要解释为什么会这样以及我应该做什么吗?
米蒂亚。
这并不重要,它只是告诉浏览网站的人您的应用程序是用PHP编写的,这有助于攻击者,因为他们知道要攻击什么。
如果要隐藏它,可以使用mod_rewrite重写对目标 PHP 脚本没有.php扩展的请求。 如果你要这样做,你还应该关闭 php.ini 中的expose_php。
请注意,这并不能真正使您的应用程序更安全,它只会使攻击者更难解决问题。
混淆您正在使用的技术不能替代保护您的应用程序及其基础结构。 隐藏 PHP 文件扩展名应该是您应该采取的许多步骤列表中的一个详细项目,以保护您的代码和服务器。
整本书都是关于PHP安全主题的。 这是一个很好的开始:
http://www.amazon.com/Essential-PHP-Security-Chris-Shiflett/dp/059600656X/ref=pd_sim_b_2
通过在页面名称中使用.php,您向全世界宣布您的网站在 PHP 上运行。 任何有兴趣攻击您的网站的人都不必花费额外的时间和精力来弄清楚您正在运行的内容。
但是,这不是一个主要问题。 一个一心想攻击你的人很快就会弄清楚的。
从安全角度来看,它可能出错的唯一原因是它实际上告诉访问该站点的每个人,使用了什么技术(哪种脚本语言(来构建站点。其他一切都是由于用户知道它是PHP的可能性更高(例如,攻击者可能会试图利用某些PHP编码人员犯的一些常见错误(。
但是,您可以轻松地将扩展名更改为 eg。 使用mod_rewrite .asp(查看详细信息(。