PHP服务器安全配置一二
古语:知己知彼方能百战不殆。这句话如果让你来用可定很好了,可是要是黑客惦记着你服务器,你服务器暴露的信息越多就越不安全。
以下是PHP服务器配置的一点建议。
首先看下下面的一段HTTP头部
HTTP/1.1 200 OK
Connection: close
Date: Mon, 12 Oct 2009 00:51:48 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: PHP/5.2.6
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-type: image/png
这段头部至少包含两个信息对黑客来说比较有用的,一是可以知道你的服务器是windows的(Server: Microsoft-IIS/6.0),二是你的服务器是采用PHP脚本。我这里主要讲的是服务器脚本配置。
一个网站采用什么脚本通常可以从两个方面来验证,一是直接从网站的链接结构来看。对于一个采用动态语言(asp、php或者jsp)的网站,通常直接从后缀即可看出。即使很多网站采用伪静态或者静态,我们仍然可以从搜索页或者用户登录(如果有的话)页面看出网站所采用的语言。即便连这些页面也都采用伪静态了,那么我们还可以从HTTP请求所返回的头部来获取信息。因此,对于PHP服务器配置,我们如果希望隐藏网站所采用的脚本语言,可以从以下配置入手:
一、要让IIS服务器下的PHP支持其他的后缀配置如下:
- 打开IIS管理器,右键点击网站选择属性;
- 选择主目录选项卡下面的“配置”添加一个推展名,见下图:
PHP默认的后缀名是.php,因此只有首先采用其他的后缀名.php默认后缀名你才能隐藏你的服务器所采用的脚本。我比较建议用html,因为这同时对搜索引擎优化是有一定的作用。当然你也可以采用.shtml,.pdf等你认为合适的后缀来最为你的php后缀名。
注意:
a、拓展名选你喜欢的后缀,注意有一个小点“.”;
b、可执行文件的路径填写你PHP安装位置的php5isapi.dll
c、单修改后缀名称是没用的,这还需要你在开发程序的时候采用相应的后缀名称
二、让Apache服务器下的PHP脚本支持别的后缀名
打开Apache服务器安装目录下的conf目录,找到httpd.conf文件,打开它并在最后添加
AddType application/x-httpd-php .html
请把后面的.html换成你喜欢的后缀名。这样你的php服务器就支持别的后缀了。
业务咨询
客服1