PHP'yi gizlemek (1 İzleyici)

[Berkay Tosun]

Bazı şeyleri gizleyerek güvenlik sağlama girişimleri en alt düzeydeki çabalardır. Ancak bazı durumlarda en küçük güvenlik arttırıcı önlem bile yararlı olabilir.

Bir kaç basit teknikle PHP'yi gizleyebilir, sisteminizin zayıflıklarını keşfetmeye çalışan bir saldırganı belki de yavaşlatabilirsiniz. php.ini dosyanızda expose_php = off yaparak bir saldırganın erişebileceği bilgiyi en aza indirebilirsiniz.

Başka bir yol da HTTP sunucusuna PHP kodu olarak başka dosya uzantıları belirtmektir. Bu işlem Apache yapılandırma dosyasında veya .htaccess dosyalarında yapılabilir. Yanıltıcı dosya uzantılarını şöyle kullanabilirsiniz:

Örnek 1 - PHP'yi başka bir dil olarak göstermek

# PHP kodlarını başka bir dilin kodları gibi gösterelim 
AddType application/x-httpd-php .asp .py .pl

Veya tamamen gizleyelim:
Örnek 2 - PHP uzantısı olarak bilinmeyen bir uzantı kullanmak

# PHP kodunu türü bilinmeyen bir dosya gibi gösterelim 
AddType application/x-httpd-php .hop .yep

Ya da HTML kodu gibi gösterek gizleyelim. Ancak tüm HTML dosyalarını PHP işleyeceği için bu bir miktar başarım kaybına sebep olur:
Örnek 3 - PHP uzantısı olarak HTML uzantılarını kullanmak

# Tüm PHP kodu HTML kodu gibi görünsün 
AddType application/x-httpd-php .htm .html

Bunun verimli çalışması için tüm PHP dosyalarınızın uzantılarını yukardaki uzantılarla değiştirmeniz gerekir. Dosya adı değiştirme zorunluluğu için bu alt düzey güvenlik önleminin size çıkardığı bir zorluktur diyebiliriz.