Ризики для безпеки публічної сторінки phpinfo ()?

У мене є загальнодоступна сторінка, яка щойно є

<?php phpinfo(); >

Я використовую його в цілях налагодження, поки ми перебуваємо в бета-версії, але чи є якась шкода в тому, щоб залишити його доступним, коли його веб-сайт працює?

— кремнію
джерело

Це повністю залежатиме від того, наскільки ви впевнені у своїй установці PHP. Якщо ви вважаєте, що це твердо, але навіть якщо зловмисник знає все про вашу установку PHP, ви можете залишити його на місці.

Але насправді, навіщо ви взагалі залишаєте це на виробничій системі? Можливо, у вашій версії PHP можуть бути подвиги, про які ви не знаєте - люди можуть зараз або в майбутньому шукати вашу версію PHP або певні опції, які ви включили, оскільки вони знають, як здійснювати ці подвиги. Тож зберігаючи це публічно, ви додали себе до їх списку звернень.

Якщо ви хочете підтримувати його, ви можете помістити його в каталог, захищений паролем, або просто увімкнути його, коли вам це потрібно. Зважаючи на невелику вартість цих варіантів, я б не ризикував тримати його публічним.

— dunxd
джерело

Обгортання виклику функції умовно зазвичай робить трюк - тобто <?php if ( $_SERVER['REMOTE_ADDR'] == '1.2.3.4' ) phpinfo(); ?>(де 1.2.3.4ваша IP-адреса)

— danlefree

Дякую @dunxd - і спасибі @danlefree за пораду ... Є так багато сайтів, які все ще розкривають свої phpinfos!

— siliconpi

Є дуже багато сайтів, які також піддають phpmyadmin - не слідкуйте за прикладами низької безпеки інших людей. Вони можуть не цінувати свої дані або цілісність свого сервера настільки, наскільки ви цінуєте свої.

— dunxd

Хоча рішення @ dunxd є ретельним і ідеальним, мені дуже подобається рішення проблеми @ danlefree. Я не впевнений, чому я раніше цього не думав, і буду використовувати цю модель вперед. Щоб залишитися на темі, я також хотів додати, що я теж вважаю, що виставлення PHP публічно у phpinfo()функції не є розумною ідеєю.

— Justinhartman