web-dev-qa-db-ja.com

公開phpinfo()ページを持つことのセキュリティリスク?

私は公にアクセス可能なページを持っています

<?php phpinfo(); >

ベータ版のデバッグ目的で使用していますが、ライブサイトでアクセスできるようにしておくことに害はありますか?

10
siliconpi

それはあなたがあなたのPHPインストールについてどれだけ自信があるかに完全に依存します。攻撃者があなたのPHPインストールについてすべてを知っていても、それが堅実だと思うなら、その後、そのままにしておくことができます。

しかし、実際には、なぜこれを本番システムに残しておくのでしょうか。あなたのバージョンのPHP-人々は現在または将来、あなたのバージョンのPHP、またはあなたが有効にした特定のオプションをスキャンする可能性があります。彼らは持ち運びの方法を知っているからです。これらのエクスプロイトを排除するため、これを公に維持することで、ヒットリストに自分自身を追加しました。

それを維持したい場合は、パスワードで保護されたディレクトリに置くか、必要なときにスイッチを入れることができます。これらのオプションのコストが小さいことを考えると、私はそれを公開し続けるリスクを冒しません。

11
dunxd