सार्वजनिक phpinfo () पृष्ठ के सुरक्षा जोखिम?

मेरे पास एक सार्वजनिक रूप से सुलभ पृष्ठ है जो अभी है

<?php phpinfo(); >

जब हम बीटा में होते हैं, तो मैं डिबगिंग उद्देश्यों के लिए इसका उपयोग करता हूं, लेकिन क्या इसकी लाइव साइट पर इसे एक्सेस करने में कोई नुकसान है?

— siliconpi
स्रोत

यह पूरी तरह से इस बात पर निर्भर करेगा कि आप अपने PHP इंस्टॉल के बारे में कितने आश्वस्त हैं। यदि आपको लगता है कि यह रॉक सॉलिड है, भले ही कोई हमलावर आपके PHP इंस्टॉल के बारे में सब कुछ जानता हो, तो आप इसे जगह में छोड़ सकते हैं।

लेकिन वास्तव में, आप इसे उत्पादन प्रणाली पर फिर भी क्यों छोड़ेंगे? ऐसे कारनामे हो सकते हैं जो आप PHP के अपने संस्करण के बारे में नहीं जानते हैं - लोग अब या भविष्य में आपके PHP के संस्करण के लिए स्कैन कर सकते हैं, या आपके द्वारा सक्षम विशेष विकल्प, क्योंकि वे जानते हैं कि इन कारनामों को कैसे करना है। इसलिए इसे युवावस्था में रखते हुए, आपने खुद को उनकी हिटलिस्ट में शामिल किया।

यदि आप इसे रखना चाहते हैं, तो आप इसे पासवर्ड से सुरक्षित निर्देशिका में रख सकते हैं, या ज़रूरत पड़ने पर बस स्विच कर सकते हैं। इन विकल्पों की छोटी लागत को देखते हुए, मैं इसे सार्वजनिक रखने का जोखिम नहीं उठाऊंगा।

— dunxd
स्रोत

एक सशर्त में फ़ंक्शन कॉल को लपेटना आमतौर पर चाल चलता है - <?php if ( $_SERVER['REMOTE_ADDR'] == '1.2.3.4' ) phpinfo(); ?>(जहां 1.2.3.4आपका आईपी पता है)

— danlefree

धन्यवाद @dunxd - और टिप के लिए @danlefree का धन्यवाद ... ऐसी कई साइटें हैं जो अभी भी अपने फिपिनोस को उजागर करती हैं!

— सिलिकॉनपीआई

बहुत सी साइटें हैं जो phpmyadmin को भी उजागर करती हैं - अन्य लोगों की कम सुरक्षा के उदाहरणों का पालन नहीं करती हैं। वे अपने डेटा या अपने सर्वर की अखंडता को उतना महत्व नहीं दे सकते हैं जितना कि आप अपना महत्व देते हैं।

— dunxd

जबकि @ dunxd का समाधान पूरी तरह से सही है और मुझे समस्या का @ danlefree समाधान पसंद है। मुझे यकीन नहीं है कि मैंने इसके बारे में पहले कभी क्यों नहीं सोचा और मैं इस मॉडल का उपयोग आगे बढ़ाऊंगा। विषय पर बने रहने के लिए, मैं यह भी जोड़ना चाहता हूं कि मेरी राय में यह भी है कि किसी phpinfo()कार्य में PHP को सार्वजनिक रूप से उजागर करना एक बुद्धिमान विचार नहीं है।

— Justinhartman