隱藏 PHP

一般而言，通過(guò)隱藏來(lái)實(shí)現安全是最脆弱的安全方式之一。但在某些情況下，每一點(diǎn)額外的安全都是值得的。

一些簡(jiǎn)單的方法可以幫助隱藏 PHP，這可能會(huì )減慢攻擊者試圖找到系統弱點(diǎn)的速度。 通過(guò)在 php.ini 文件中設置 expose_php 為 off， 可以減少能獲得的有用信息。

另一個(gè)策略是配置 web 服務(wù)器（例如 apache）通過(guò) PHP 解析不同的文件類(lèi)型， 無(wú)論是通過(guò) .htaccess 文件還是 apache 的配置文件，都可以設置能誤導攻擊者的文件擴展名：

# 使 PHP 代碼看起來(lái)像其他代碼類(lèi)型
AddType application/x-httpd-php .asp .py .pl

# 使 PHP 代碼看起來(lái)像未知的類(lèi)型
AddType application/x-httpd-php .bop .foo .133t

# 使所有的 PHP 代碼看起來(lái)像 HTML
AddType application/x-httpd-php .htm .html