Rủi ro bảo mật của việc có trang phpinfo () công khai?

Tôi có một trang có thể truy cập công khai

<?php phpinfo(); >

Tôi sử dụng nó cho mục đích gỡ lỗi trong khi chúng tôi đang ở giai đoạn thử nghiệm, nhưng có bất kỳ tác hại nào trong việc để nó có thể truy cập khi trang web trực tiếp không?

— siliconpi
nguồn

Nó hoàn toàn phụ thuộc vào mức độ tự tin của bạn về cài đặt PHP của bạn. Nếu bạn nghĩ rằng nó là đá rắn, ngay cả khi kẻ tấn công biết mọi thứ về cài đặt PHP của bạn, thì bạn có thể để nó tại chỗ.

Nhưng thực sự, tại sao bạn lại để nó ở vị trí trên một hệ thống sản xuất? Có thể có những khai thác mà bạn không biết trong phiên bản PHP của mình - mọi người có thể quét phiên bản PHP trong tương lai hoặc các tùy chọn cụ thể mà bạn đã bật vì họ biết cách thực hiện các khai thác này. Vì vậy, bằng cách giữ công khai điều này, bạn đã thêm mình vào danh sách hit của họ.

Nếu bạn muốn giữ nó, bạn có thể đặt nó trong một thư mục được bảo vệ bằng mật khẩu, hoặc chỉ bật nó khi bạn cần. Với chi phí nhỏ của các tùy chọn này, tôi sẽ không mạo hiểm để công khai nó.

— dunxd
nguồn

Việc gói chức năng gọi trong một điều kiện thường thực hiện thủ thuật - tức là <?php if ( $_SERVER['REMOTE_ADDR'] == '1.2.3.4' ) phpinfo(); ?>( 1.2.3.4địa chỉ IP của bạn ở đâu )

— danlefree

Cảm ơn @dunxd - và cảm ơn @danlefree về tiền boa ... có rất nhiều trang web vẫn tiếp xúc với phpinfos của họ!

— siliconpi

Có rất nhiều trang web cũng tiết lộ phpmyadmin - đừng làm theo các ví dụ về bảo mật thấp của người khác. Họ có thể không coi trọng dữ liệu hoặc tính toàn vẹn của máy chủ của họ nhiều như bạn đánh giá cao dữ liệu của bạn.

— dunxd

Mặc dù giải pháp của @ dunxd rất kỹ lưỡng và hoàn hảo, tôi thực sự thích giải pháp của @ danlefree cho vấn đề này. Tôi không chắc tại sao tôi chưa bao giờ nghĩ về điều này trước đây và tôi sẽ sử dụng mô hình này trong tương lai. Để duy trì chủ đề, tôi cũng muốn thêm tôi cũng cho rằng việc phơi bày PHP công khai trong một phpinfo()chức năng không phải là một ý tưởng khôn ngoan.

— justinhartman