Easter Eggs(復(fù)活節(jié)彩蛋)外行人估計(jì)不了解這是神木玩意，彩蛋的網(wǎng)絡(luò)解釋是:用于電腦、電子游戲、電腦游戲、影碟或其他互動(dòng)多媒體之中的隱藏功能或信息。php包含一個(gè)安全漏洞，可能導(dǎo)致未經(jīng)授權(quán)的信息披露,如果你正在運(yùn)行php，就有可能會(huì)被人發(fā)現(xiàn)php版本和其他敏感信息。我覺(jué)得有必要解決這個(gè)彩蛋問(wèn)題來(lái)確保你網(wǎng)站的安全性。

php彩蛋是如何運(yùn)作的

只要運(yùn)行php的服務(wù)器上，訪問(wèn)任何網(wǎng)頁(yè)都可以在域名后添加以下字符串來(lái)查看信息:
復(fù)制代碼 代碼如下:
?=phpB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 (php信息列表)
?=phpE9568F34-D428-11d2-A769-00AA001ACF42 (php的LOGO)
?=phpE9568F35-D428-11d2-A769-00AA001ACF42 (Zend LOGO)
?=phpE9568F36-D428-11d2-A769-00AA001ACF42 (php LOGO 藍(lán)色大象)

當(dāng)然，如果漏洞存在才可以通過(guò)以上來(lái)查看到信息，現(xiàn)在一般網(wǎng)站都已經(jīng)屏蔽了。但如果存在說(shuō)明其expose_php是啟用狀態(tài)，php將生成頁(yè)面發(fā)送出php版本信息，這樣一些”壞人”就知道了你的版本號(hào)來(lái)利用已知的版本漏洞來(lái)進(jìn)行攻擊。

如何阻止彩蛋

一般情況下如果你的服務(wù)器支持編輯php.ini文件，我們可以把php.ini里的expose_php設(shè)為Off就可以屏蔽了。如果你不能操作php.ini文件，也可以通過(guò)設(shè)置.htaccess來(lái)進(jìn)行屏蔽。
復(fù)制代碼 代碼如下:
RewriteCond %{QUERY_STRING} /=php[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC]
RewriteRule .* - [F]

通過(guò)以上兩種方法，我們可以屏蔽一些php信息，一些服務(wù)器默認(rèn)設(shè)置expose_php是開(kāi)啟的，所以來(lái)看我這篇文章的朋友們最好是把它關(guān)閉了。

Really appreciate it Jeff Starr‘s post expose_php, Easter Eggs, and .htaccess.

示例：
復(fù)制代碼 代碼如下:
http://wowo.haotui.com/space.php?=phpB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
http://en.wikipedia.org/w/index.php?=phpE9568F34-D428-11d2-A769-00AA001ACF42
http://www.zend.com/en/index.php?=phpE9568F35-D428-11d2-A769-00AA001ACF42

php技術(shù)：PHP彩蛋信息介紹和阻止泄漏的方法（隱藏功能），轉(zhuǎn)載需保留來(lái)源！

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除，多謝。