Rischi per la sicurezza di avere una pagina phpinfo () pubblica?

Ho una pagina accessibile al pubblico che ha appena

<?php phpinfo(); >

Lo uso per scopi di debug mentre siamo in beta, ma c'è qualche danno nel lasciarlo accessibile quando è un sito live?

— siliconpi
fonte

Dipenderebbe interamente da quanto sei sicuro della tua installazione di PHP. Se pensi che sia solido, anche se un attaccante sa tutto sulla tua installazione di PHP, potresti lasciarlo in posizione.

Ma davvero, perché dovresti lasciarlo sul posto in un sistema di produzione comunque? Potrebbero esserci degli exploit di cui non sei a conoscenza nella tua versione di PHP - le persone potrebbero ora o in futuro cercare la tua versione di PHP o particolari opzioni che hai abilitato, perché sanno come eseguire questi exploit. Quindi, continuando pubblicamente, ti sei aggiunto alla loro hitlist.

Se vuoi mantenerlo, puoi metterlo in una directory protetta da password, o semplicemente accenderlo quando ne hai bisogno. Dato il piccolo costo di queste opzioni, non correrei il rischio di renderlo pubblico.

— dunxd
fonte

Avvolgere la chiamata di funzione in un condizionale di solito fa il trucco - cioè <?php if ( $_SERVER['REMOTE_ADDR'] == '1.2.3.4' ) phpinfo(); ?>(dove si 1.2.3.4trova il tuo indirizzo IP)

— danlefree

Grazie @dunxd - e grazie @danlefree per il suggerimento ... ci sono così tanti siti che espongono ancora le loro foto!

— siliconpi,

Ci sono molti siti che espongono anche phpmyadmin - non seguire gli esempi di bassa sicurezza delle altre persone. Potrebbero non valutare i propri dati o l'integrità del proprio server tanto quanto si valuta i propri.

— Dunxd,

Mentre la soluzione di @ dunxd è completa e perfetta, mi piace molto la soluzione di @ danlefree al problema. Non sono sicuro del perché non ci abbia mai pensato prima e userò questo modello in futuro. Per rimanere in tema, volevo anche aggiungere che anche io sono dell'opinione che esporre PHP pubblicamente in una phpinfo()funzione non sia un'idea saggia.

— justinhartman,