> Tech > Dissimuler phpinfo()

Dissimuler phpinfo()

Tech - Par iTPro - Publié le 24 juin 2010
email

La fonction phpinfo() donne une liste de tous les paramètres PHP, comme valeurs php.ini, noms et numéros de version du module d’extension, et variables Apache (figure 1). L’usage le plus courant de cette fonction est un document HTML simple nommé phpinfo.php, qui contient

Dissimuler phpinfo()

le bref fragment de code PHP.

Ce petit bout de code produira un grand document HTML donnant la liste de tous les paramètres .ini de PHP, options de compilation, modules d’extension inclus, et beaucoup d’autres informations qu’il vaut mieux que les pirates ne voient pas. Bien que phpinfo() soit un outil de débogage précieux, capable de collecter des informations de sources disparates sur une page unique, les pirates l’utilisent pour trouver des failles.

Il est bon que vous puissiez accéder facilement à la sortie de phpinfo() pour dépanner des applications, mais veillez à cacher cet accès, peut-être par une protection par mot de passe. PHP version 5.2.1 a amélioré cette situation en ajoutant des mots-clés ordonnant aux moteurs de recherche de ne pas indexer les pages phpinfo, ce qui réduit la menace du Google hacking.

Malgré cela, un observateur étranger à l’entreprise visualisant votre phpinfo() risque d’y trouver bien plus que vous ne le souhaiteriez.

Moralité : n’utilisez jamais la convention phpinfo.php, car c’est ce que tout pirate recherche dans un site victime potentiel. 

Téléchargez gratuitement cette ressource

Le Guide d’Orchestration du Parcours client

Le Guide d’Orchestration du Parcours client

Au-delà de la clarification des nouveaux concepts de gestion du parcours client, ce guide vous permettra de définir, créer et mettre œuvre une orchestration complète articulée autour des trois volets essentiels au succès de l’expérience client et de l’entreprise.

Tech - Par iTPro - Publié le 24 juin 2010