PHP彩蛋信息介绍和阻止泄漏的方法(隐藏功能)


Posted in PHP onAugust 06, 2014

Easter Eggs(复活节彩蛋)外行人估计不了解这是神木玩意,彩蛋的网络解释是:用于电脑、电子游戏、电脑游戏、影碟或其他互动多媒体之中的隐藏功能或信息。PHP包含一个安全漏洞,可能导致未经授权的信息披露,如果你正在运行PHP,就有可能会被人发现PHP版本和其他敏感信息。我觉得有必要解决这个彩蛋问题来确保你网站的安全性。

PHP彩蛋是如何运作的

只要运行PHP的服务器上,访问任何网页都可以在域名后添加以下字符串来查看信息:

?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 (PHP信息列表)

?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 (PHP的LOGO)

?=PHPE9568F35-D428-11d2-A769-00AA001ACF42 (Zend LOGO)

?=PHPE9568F36-D428-11d2-A769-00AA001ACF42 (PHP LOGO 蓝色大象)

当然,如果漏洞存在才可以通过以上来查看到信息,现在一般网站都已经屏蔽了。但如果存在说明其expose_php是启用状态,PHP将生成页面发送出PHP版本信息,这样一些”坏人”就知道了你的版本号来利用已知的版本漏洞来进行攻击。

如何阻止彩蛋

一般情况下如果你的服务器支持编辑php.ini文件,我们可以把php.ini里的expose_php设为Off就可以屏蔽了。如果你不能操作php.ini文件,也可以通过设置.htaccess来进行屏蔽。

RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC]

RewriteRule .* - [F]

通过以上两种方法,我们可以屏蔽一些PHP信息,一些服务器默认设置expose_php是开启的,所以来看我这篇文章的朋友们最好是把它关闭了。

Really appreciate it Jeff Starr‘s post expose_php, Easter Eggs, and .htaccess.

示例:

http://wowo.haotui.com/space.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
http://en.wikipedia.org/w/index.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42
http://www.zend.com/en/index.php?=PHPE9568F35-D428-11d2-A769-00AA001ACF42
PHP 相关文章推荐
php 无限级数据JSON格式及JS解析
Jul 17 PHP
php去掉字符串的最后一个字符附substr()的用法
Mar 23 PHP
php继承的一个应用
Sep 06 PHP
php去除重复字的实现代码
Sep 16 PHP
php中使用临时表查询数据的一个例子
Feb 03 PHP
php使用Jpgraph绘制复杂X-Y坐标图的方法
Jun 10 PHP
使用PHP实现生成HTML静态页面
Nov 18 PHP
yii权限控制的方法(三种方法)
Dec 28 PHP
php用户登录之cookie信息安全分析
May 13 PHP
PHPMailer发送邮件
Dec 28 PHP
PHP合并数组函数array_merge用法分析
Feb 17 PHP
PHP 文件锁与进程锁的使用示例
Aug 07 PHP
PHP编程中的常见漏洞和代码实例
Aug 06 #PHP
Discuz7.2版的faq.php SQL注入漏洞分析
Aug 06 #PHP
PHP中的reflection反射机制测试例子
Aug 05 #PHP
PHP的反射类ReflectionClass、ReflectionMethod使用实例
Aug 05 #PHP
实例介绍PHP的Reflection反射机制
Aug 05 #PHP
PHP中读取文件的8种方法和代码实例
Aug 05 #PHP
PHP中Fatal error session_start()错误解决步骤
Aug 05 #PHP
You might like
PHP4实际应用经验篇(1)
2006/10/09 PHP
MYSQL数据库初学者使用指南
2006/11/16 PHP
兼容性比较好的PHP生成缩略图的代码
2011/01/12 PHP
浅析ThinkPHP中的pathinfo模式和URL重写
2014/01/06 PHP
php中array_multisort对多维数组排序的方法
2020/06/21 PHP
PHP 中TP5 Request 请求对象的实例详解
2017/07/31 PHP
thinkphp集成前端脚手架Vue-cli的教程图解
2018/08/30 PHP
7个Javascript地图脚本整理
2009/10/20 Javascript
javascript针对不确定函数的执行方法
2015/12/16 Javascript
js控制TR的显示隐藏
2016/03/04 Javascript
js实现(全选)多选按钮的方法【附实例】
2016/03/30 Javascript
基于Angular.js实现的触摸滑动动画实例代码
2017/02/19 Javascript
详解Nodejs之静态资源处理
2017/06/05 NodeJs
详解设置Webstorm 利用babel将ES6自动转码成ES5
2017/12/20 Javascript
Angular resolve基础用法详解
2018/10/03 Javascript
nodejs实现UDP组播示例方法
2019/11/04 NodeJs
Javascript如何实现扩充基本类型
2020/08/26 Javascript
js实现鼠标切换图片(无定时器)
2021/01/27 Javascript
[58:59]完美世界DOTA2联赛PWL S3 access vs CPG 第一场 12.13
2020/12/16 DOTA
Python自动重试HTTP连接装饰器
2015/04/28 Python
python字典的常用操作方法小结
2016/05/16 Python
Python处理文本文件中控制字符的方法
2017/02/07 Python
Python利用matplotlib生成图片背景及图例透明的效果
2017/04/27 Python
Python之变量类型和if判断方式
2020/05/05 Python
基于python+selenium自动健康打卡的实现代码
2021/01/13 Python
python 使用OpenCV进行简单的人像分割与合成
2021/02/02 Python
HTML4和HTML5之间除了相似以外的10个主要不同
2012/12/13 HTML / CSS
data:image data url 文件转为Blob上传后端的方法
2019/07/16 HTML / CSS
如何在.net Winform里面显示PDF文档
2012/09/11 面试题
跟单文员岗位职责
2014/01/03 职场文书
大学生职业生涯规划书汇总
2014/03/20 职场文书
村级四风对照检查材料
2014/08/24 职场文书
2015年人力资源工作总结
2015/04/08 职场文书
幼儿园开学家长寄语(2016秋季)
2015/12/03 职场文书
数据结构课程设计心得体会
2016/01/15 职场文书
Android在Sqlite3中的应用及多线程使用数据库的建议
2022/04/24 Java/Android