[PHP-users 11310] Re: PHPの拡張子について

Osamu Shigematsu php-users@php.gr.jp
Wed, 06 Nov 2002 13:58:33 +0900


重松です。

> セキュリティ強化などの目的でPHPを使っていることがわからないように、
> htmや.htmlを使うこともできますね。

でも

HTTP/1.1 200 OK
Date: Mon, 18 Jun 2001 12:46:47 GMT
Server: Apache/1.3.20 (Unix) PHP/4.0.5 PHP/3.0.18-i18n-ja-2
X-Powered-By: PHP/4.0.5
Connection: close
Content-Type: text/html; charset=shift_jis

みたいにでてしまうので、頭隠して尻隠さず状態ですね。

けど、個人的に、こういうのはやめてほしい。>X-Powered-By

穴だらけのバージョンもあるわけで、攻撃する人にわざわざ
セキュリティーホールあるから攻撃してね、といってるようなもの。
どういうメリットから、バージョン情報を開示するのでしょう。

あるいは、開示しないような設定はあるのでしょうか?

> 私は、クライアント側からファイルの中身が見えないように、スクリプト本体
> と同一ディレクトリに置くときは.phpを使っています。

けど、それだと、意図しない呼び出しを行われる可能性があるから、

if(basename(__FILE__) == basename(_SERVER['PHP_SELF'])){
	trigger_error('不正な呼び出しかも');
}

とかの工夫も必要かも。。。
# require や include なんかで読み込まれた場合の __FILE__ って
# どうなるんでしたっけ...?

-- 
Osamu Shigematsu <m5issige@mr.hitachi-medical.co.jp>