ความเสี่ยงด้านความปลอดภัยในการมีหน้า phpinfo () สาธารณะ?

ฉันมีหน้าเว็บที่สาธารณชนเข้าถึงซึ่งเพิ่งมี

<?php phpinfo(); >

ฉันใช้เพื่อจุดประสงค์ในการดีบักในขณะที่เรายังอยู่ในช่วงเบต้า แต่มีอันตรายใด ๆ ในการปล่อยให้สามารถเข้าถึงได้เมื่อไซต์สดหรือไม่

— siliconpi
แหล่งที่มา

ขึ้นอยู่กับความมั่นใจในการติดตั้ง PHP ของคุณ หากคุณคิดว่ามันแข็งแกร่งมากแม้ว่าผู้โจมตีจะรู้ทุกอย่างเกี่ยวกับการติดตั้ง PHP ของคุณคุณก็สามารถทิ้งมันไว้ได้

แต่จริงๆแล้วทำไมคุณต้องทิ้งเรื่องนี้ไว้ในระบบการผลิตแล้วล่ะ? อาจมีการหาช่องโหว่ที่คุณไม่ทราบใน PHP เวอร์ชันของคุณ - ผู้ใช้อาจสแกน PHP เวอร์ชันปัจจุบันของคุณหรือในอนาคตหรือตัวเลือกเฉพาะที่คุณเปิดใช้งานเพราะพวกเขารู้วิธีดำเนินการหาประโยชน์เหล่านี้ ดังนั้นโดยการทำให้เป็นสาธารณะคุณเพิ่มตัวเองในรายการยอดนิยมของพวกเขา

หากคุณต้องการเก็บไว้คุณสามารถวางไว้ในไดเรกทอรีที่มีการป้องกันด้วยรหัสผ่านหรือเพียงแค่เปิดมันเมื่อคุณต้องการ ด้วยค่าใช้จ่ายเล็กน้อยของตัวเลือกเหล่านี้ฉันจะไม่เสี่ยงที่จะเปิดเผยต่อสาธารณะ

— dunxd
แหล่งที่มา

การตัดการเรียกฟังก์ชันในเงื่อนไขโดยปกติจะเป็นการหลอกลวง - <?php if ( $_SERVER['REMOTE_ADDR'] == '1.2.3.4' ) phpinfo(); ?>(ที่1.2.3.4อยู่ IP ของคุณอยู่ที่ไหน)

— danlefree

ขอบคุณ @dunxd - และขอบคุณ @danlefree สำหรับคำแนะนำ ... มีเว็บไซต์มากมายที่ยังคงเปิดเผย phpinfos ของพวกเขาอยู่!

— siliconpi

มีเว็บไซต์จำนวนมากที่เปิดเผย phpmyadmin ด้วย - อย่าทำตามตัวอย่างความปลอดภัยต่ำของผู้อื่น พวกเขาอาจไม่ให้ความสำคัญกับข้อมูลหรือความสมบูรณ์ของเซิร์ฟเวอร์เท่าที่คุณเห็นคุณค่าของคุณ

— dunxd

ในขณะที่วิธีการแก้ปัญหาของ @ dunxd นั้นละเอียดและสมบูรณ์แบบฉันชอบวิธีการแก้ปัญหาของ @ danlefree ฉันไม่แน่ใจว่าทำไมฉันไม่เคยคิดเรื่องนี้มาก่อนและฉันจะใช้โมเดลนี้ต่อไป เพื่อให้อยู่ในหัวข้อฉันยังต้องการที่จะเพิ่มฉันก็มีความเห็นว่าการเปิดเผย PHP ในที่สาธารณะในphpinfo()ฟังก์ชั่นไม่ใช่ความคิดที่ฉลาด

— justinhartman