Riscos de segurança de ter a página pública phpinfo ()?

10

Eu tenho uma página acessível ao público que apenas possui 

<?php phpinfo(); >

Eu o uso para fins de depuração enquanto estamos na versão beta, mas há algum mal em deixá-lo acessível quando é um site ativo?

apache-2.2 php security phpinfo siliconpi
fonte

Respostas:

11

Isso dependeria inteiramente da confiança que você tem sobre a instalação do PHP. Se você acha que é sólido, mesmo que um invasor saiba tudo sobre a instalação do PHP, poderá deixá-lo no lugar.

Mas, realmente, por que você deixaria isso em um sistema de produção? Pode haver explorações que você não conhece na sua versão do PHP - as pessoas podem agora ou no futuro verificar sua versão do PHP ou opções específicas que você ativou, porque elas sabem como realizar essas explorações. Então, mantendo isso publicamente, você se adicionou à lista de hits deles.

Se você quiser continuar, pode colocá-lo em um diretório protegido por senha ou apenas ativá-lo quando necessário. Dado o pequeno custo dessas opções, não correria o risco de mantê-lo público.

dunxd
fonte
2
Envolvendo a chamada de função em um geralmente condicional faz o truque - ou seja, <?php if ( $_SERVER['REMOTE_ADDR'] == '1.2.3.4' ) phpinfo(); ?>(onde 1.2.3.4é o seu endereço IP)
danlefree
Obrigado @dunxd - e obrigado @danlefree pela dica ... existem tantos sites que ainda expõem seus phpinfos!
Siliconpi 25/10/10
1
Existem muitos sites que expõem o phpmyadmin também - não siga os exemplos de baixa segurança de outras pessoas. Eles podem não valorizar os dados ou a integridade do servidor, tanto quanto você valoriza o seu.
Dunxd 25/10/10
Embora a solução da @ dunxd seja completa e perfeita, eu realmente gosto da solução da @ danlefree para o problema. Não sei por que nunca pensei nisso antes e usarei esse modelo daqui para frente. Para permanecer no tópico, eu também queria acrescentar que também sou da opinião que expor o PHP publicamente em uma phpinfo()função não é uma idéia sábia.
precisa