[PHP-users 11310] Re: PHPの拡張子について
Osamu Shigematsu
php-users@php.gr.jp
Wed, 06 Nov 2002 13:58:33 +0900
重松です。
> セキュリティ強化などの目的でPHPを使っていることがわからないように、
> htmや.htmlを使うこともできますね。
でも
HTTP/1.1 200 OK
Date: Mon, 18 Jun 2001 12:46:47 GMT
Server: Apache/1.3.20 (Unix) PHP/4.0.5 PHP/3.0.18-i18n-ja-2
X-Powered-By: PHP/4.0.5
Connection: close
Content-Type: text/html; charset=shift_jis
みたいにでてしまうので、頭隠して尻隠さず状態ですね。
けど、個人的に、こういうのはやめてほしい。>X-Powered-By
穴だらけのバージョンもあるわけで、攻撃する人にわざわざ
セキュリティーホールあるから攻撃してね、といってるようなもの。
どういうメリットから、バージョン情報を開示するのでしょう。
あるいは、開示しないような設定はあるのでしょうか?
> 私は、クライアント側からファイルの中身が見えないように、スクリプト本体
> と同一ディレクトリに置くときは.phpを使っています。
けど、それだと、意図しない呼び出しを行われる可能性があるから、
if(basename(__FILE__) == basename(_SERVER['PHP_SELF'])){
trigger_error('不正な呼び出しかも');
}
とかの工夫も必要かも。。。
# require や include なんかで読み込まれた場合の __FILE__ って
# どうなるんでしたっけ...?
--
Osamu Shigematsu <m5issige@mr.hitachi-medical.co.jp>