日期:2012-10-30 浏览次数:20475 次
大家都知道用于显示服务器配置的phpinfo(),是一个用于安装新服务器后非常有用的工具,并且是一个可以跟各个管理员们进行交流的非常有用的工具。
当然在使用之后,通常是移除掉它或者只是提供给少量人使用,的确,phpinfo自身也许非常的危险。有些时候他甚至会有XSS注入的缺陷。甚至当你觉得安全的时候,phpinfo也将把你的一些配置构造公开,所以推荐把它远离。
非常可惜得是,现在把phpinfo页作为web服务器的一部分是一个非常常见的事情,而且搜索引擎也常常去拾取它的信息,有成千上万的phpinfo()叶面在yahoo等各种搜索引擎上。只需要在你的yahoo上搜索'phpinfo()' 'GoogleBot' and "Zend Scripting Language Engine"就可以看到他们。看Ilia's的文章—如何保护你的phpinfo() Reliably locating phpinfo (18 visites))。
当然在另一个方面,能够在世界范围内收集如此多的phpinfo信息对于我们来说是一个相当巨大的财富。一旦我们获得了URL地址,我们只需要下载phpinfo()文件,然后我们分析它并把它储存为相应的数据,这些就是我在做的事情。
我在intrenet上获得了12000个phpinfo()。在这里引用了其中有用处的11048个。11000在百万的php站点的数量中只能算是沧海一粟。但是与google等搜索引擎中的数量来比,也占到了1%,所以也能代表一些意见。
我们能从这些资料库中获得多少信息呢?这只是一个有趣的普通的联系么?许多人认为在搜索引擎中获得phpinfo信息并不是太容易的事情,甚至需要一定的运气。这种确定并不是一件好事情。事实上,让我来教你如何搜索你的网站的phpinfo页,使用这种格式'phpinfo site:yoursite.com' 然后你会感到非常的吃惊。
另一方面11000是一个相当大的数量。在收集了这些phpinfo信息之后,我用来比较了各种php版本的分布和数量信息。其中的87%相当好。总体而言,这些信息相当有代表性。
好了,在结束上面如此长的介绍后,从这些资料中,我们获得了一些有趣的数据。最后,phpinfo包含了许多的信息。我把它们作为模版提取了一些交叉的内容。
结尾
配置数据总是那么得出乎意料或意料之中。读取完这些数据后,我们发现仍然有许多是需要进行指导的地方。
通常来说,很多的配置都是非常通用的数值。我们发觉用Php开发的人中,很多人都没有详细的了解过php.ini文件的内容,并且了解它……