easter eggs(復活節彩蛋)外行人估計不了解這是神木玩意,彩蛋的網路解釋是:用於電腦、電子遊戲、電腦遊戲、影碟或其他互動多**之中的隱藏功能或資訊。php包含乙個安全漏洞,可能導致未經授權的資訊披露,如果你正在執行php,就有可能會被人發現php版本和其他敏感資訊。我覺得有必要解決這個彩蛋問題來確保你**的安全性。
php彩蛋是如何運作的
只要執行php的伺服器上,訪問任何網頁都可以在網域名稱後新增以下字串來檢視資訊:
?=phpb8b5f2a0-3c92-11d3-a3a9-4c7b08c10000 (php資訊列表)
?=phpe9568f34-d428-11d2-a769-00aa001acf42 (php的logo)
?=phpe9568f35-d428-11d2-a769-00aa001acf42 (zend logo)
?=phpe9568f36-d428-11d2-a769-00aa001acf42 (php logo 藍色大象)
?=phpb8b5f2a0-3c92-11d3-a3a9-4c7b08c10000
?=phpe9568f34-d428-11d2-a769-00aa001acf42
?=phpe9568f35-d428-11d2-a769-00aa001acf42
?=phpe9568f36-d428-11d2-a769-00aa001acf42
當然,如果漏洞存在才可以通過以上來檢視到資訊,現在一般**都已經遮蔽了。但如果存在說明其expose_php是啟用狀態,php將生成頁面傳送出php版本資訊,這樣一些」壞人」就知道了你的版本號來利用已知的版本漏洞來進行攻擊。
如何阻止彩蛋
一般情況下如果你的伺服器支援編輯php.ini檔案,我們可以把php.ini裡的expose_php設為off就可以遮蔽了。如果你不能操作php.ini檔案,也可以通過設定.htaccess來進行遮蔽。
rewritecond % \=php[0-9a-f]-[0-9a-f]-[0-9a-f]-[0-9a-f]-[0-9a-f] [nc]
rewriterule .* – [f]
通過以上兩種方法,我們可以遮蔽一些php資訊,一些伺服器預設設定expose_php是開啟的,所以來看我這篇文章的朋友們最好是把它關閉了。
示例:
php
p***ec /accepteula 繞過第一次驗證視窗
多個csv檔案合併
敏感資訊洩漏
漏洞成因 filename get filename echo echo file get contents filename header content type imgage jpeg header content disposition attachment filename filenam...
PHP記憶體洩漏
如果php物件存在遞迴引用,就會出現記憶體洩漏。這個bug在php裡已經存在很久很久了,先讓我們來重現這個bug,如下 class foo class bar for i 0 i 100 i 執行以上 你會發現,記憶體使用量本應該不變才對,可實際上卻是不斷增加,unset沒有完全生效。現在的開發很多...
PHP的復活節彩蛋
和很多軟體一樣,php也有復活節彩蛋,相信大家有見過一部分,這裡是所有的。如果你沒有聽說過,可以試試 找任意乙個你確認執行著php的站點,例如www.phpeye.com,在其 結尾加上?及以下任意一段字元後訪問 phpb8b5f2a0 3c92 11d3 a3a9 4c7b08c10000 php...