隱藏 PHP

一般而言，通過隱藏來實現(xiàn)安全是最脆弱的安全方式之一。但在某些情況下，每一點額外的安全都是值得的。

一些簡單的方法可以幫助隱藏 PHP，這可能會減慢攻擊者試圖找到系統(tǒng)弱點的速度。通過在 php.ini 文件中設置 expose_php 為 off，可以減少能獲得的有用信息。

另一個策略是配置 web 服務器（例如 apache）通過 PHP 解析不同的文件類型，無論是通過 .htaccess 文件還是 apache 的配置文件，都可以設置能誤導攻擊者的文件擴展名：

示例 #1 把 PHP 隱藏為另一種語言

# 使 PHP 代碼看起來像其他代碼類型
AddType application/x-httpd-php .asp .py .pl

或者干脆徹底隱藏它：

示例 #2 使用未知的擴展名作為 PHP 的擴展名

# 使 PHP 代碼看起來像未知的類型
AddType application/x-httpd-php .bop .foo .133t

或者隱藏它為 HTML 代碼，這樣會有輕微的性能影響，因為所有的 HTML 都將通過 PHP 引擎進行解析：

示例 #3 使用 HTML 作為 PHP 擴展名

# 使所有的 PHP 代碼看起來像 HTML
AddType application/x-httpd-php .htm .html

要讓此方法生效，必須把 PHP 文件的擴展名改為以上的擴展名。這樣就通過隱藏來提高了安全性，這是一個小的預防措施，幾乎沒有缺點。