Generell ist Sicherheit durch Unklarheit eine der schwächsten Formen von Sicherheit. Aber in manchen Fällen ist ein klein wenig mehr an zusätzlicher Sicherheit wünschenswert.
Ein paar einfache Techniken helfen, PHP zu verstecken, um
nach Schwächen in Ihrem System suchende Angreifer unter Umständen langsamer
zu machen. Wenn Sie in Ihrer php.ini expose_php auf off
setzen, reduzieren Sie damit die zur Verfügung stehenden Informationen.
Eine andere Taktik ist, den Webserver wie z.B. Apache entweder mittels einer .htaccess-Direktive oder in der Apache-Konfigurationsdatei selbst so einzustellen, dass dieser verschiedene Dateitypen durch PHP parst. So können Sie irreführende Dateierweiterungen verwenden:
Beispiel #1 PHP als andere Sprache ausgeben
# Lasse PHP-Code wie andere Arten von Code aussehen AddType application/x-httpd-php .asp .py .pl
Beispiel #2 Verwenden von unbekannten Typen für PHP-Dateierweiterungen
# Lasse PHP Code wie unbekannte Typen aussehen AddType application/x-httpd-php .bop .foo .133t
Beispiel #3 Verwenden von HTML-Typen für PHP-Dateierweiterungen
# Lasse PHP-Code wie HTML aussehen AddType application/x-httpd-php .htm .html