如何在 HTTP 头中隐藏 PHP 版本号

摘要:PHP配置默认允许服务器在 HTTP 响应头 X-Powered-By 中显示安装在服务器上的PHP版本。 出于服务器安全原因(虽然不是主要的要担心的威胁),建议你禁用或隐藏此信息,避免那些针对你的服务器的攻击者知道你是否运行了php。

PHP 配置默认允许服务器在 HTTP 响应头X-Powered-By中显示安装在服务器上的 PHP 版本。

出于服务器安全原因(虽然不是主要的要担心的威胁),建议你禁用或隐藏此信息,避免那些针对你的服务器的攻击者知道你是否运行了 PHP。

假设你服务器上安装的特定版本的 PHP 具有安全漏洞,而攻击者了解到这一点,他们将更容易利用漏洞并通过脚本访问服务器。

在我以前的文章中,我已经展示了如何隐藏 apache 版本号,你已经看到如何不再显示 apache 的安装版本。但是如果你在你的 apache 服务器上运行 PHP,你还需要隐藏 PHP 的安装版本,这我们将在本文中展示。

因此,在本文中,我们将解释如何隐藏或关闭服务器 HTTP 响应头中的 PHP 版本号。

此设置可以在加载的 PHP 配置文件中配置。如果你不知道此配置文件在服务器上的位置,请运行以下命令找到它:

$ php-i|grep"Loaded Configuration File"

PHP 配置文件位置

----------------在CentOS/RHEL/Fedora上----------------

LoadedConfigurationFile=>/etc/php.ini

----------------在Debian/Ubuntu/LinuxMint上----------------

LoadedConfigurationFile=>/etc/php/7.0/cli/php.ini

在对 PHP 配置文件进行任何更改之前,我建议您首先备份您的 PHP 配置文件,如下所示:

----------------在CentOS/RHEL/Fedora上----------------

$sudocp/etc/php.ini/etc/php.ini.orig

----------------在Debian/Ubuntu/LinuxMint上----------------

$sudocp/etc/php/7.0/cli/php.ini/etc/php/7.0/cli/php.ini.orig

用你最喜欢的编辑器,使用超级用户权限打开文件:

----------------在CentOS/RHEL/Fedora上----------------

$sudovi/etc/php.ini

----------------在Debian/Ubuntu/LinuxMint上----------------

$sudovi/etc/php/7.0/cli/php.ini

定位到关键词expose_php,并将值设置成Off:

expose_php=Off

保存并退出文件。之后,重启 web 服务器:

----------------使用SystemD----------------

$sudosystemctlrestart httpd

$sudosystemctlrestart

apache2

----------------使用SysVInit----------------

$sudoservice httpd restart

$sudoservice apache2 restart

最后,不过同样重要,使用下面的命令检查服务器 HTTP 响应头是否仍然显示你的 PHP 版本号。

$ lynx-head-mime_header http://localhost

或者

$ lynx-head-mime_header http://server-address

这里的标志含义是:

-head– 发送一个请求 mime 报头的 HEAD 请求。

-mime_header– 打印所提取文档的 MIME 标头及其源代码。

注意: 确保你系统中已经安装了命令行 web 浏览器 lynx。

更多PHP相关技术请搜索千锋PHP,做真实的自己,用良心做教育。

互联网+时代,时刻要保持学习,携手千锋PHP,Dream

It Possible。

你可能感兴趣的:(如何在 HTTP 头中隐藏 PHP 版本号)