Когда мы загружаем файл PHP, который включает функцию phpinfo(), на бесплатный веб-хостинг, как это может вызвать проблемы с безопасностью для меня? Могут ли конечные пользователи получить информацию о PHP на моем компьютере?
Включая функцию phpinfo()
comment
Он не возвращает никакой информации о вашем компьютере. Он работает на сервере и возвращает информацию о конфигурации сервера.
- person Barmar schedule 31.12.2014
Ответы (1)
Хотя конечные пользователи не могут получить информацию о вашем компьютере (поскольку на нем не запущен скрипт), они получат много информации о сервере, на котором запущен скрипт.
Как правило, это не создает проблем с безопасностью для вас, но может создать проблемы с безопасностью для владельца этого сервера (т. е. сайта бесплатного хостинга, на котором вы его разместили), поскольку это может показать, что у него установлены небезопасные библиотеки или используются версии с известными эксплойтами. что-то такое.
ИЗМЕНИТЬ
Однако имейте в виду, что если компьютер, на котором размещен ваш код, скомпрометирован злоумышленником, это также будет иметь последствия для вашего приложения. Хотя эксплойты безопасности (если они есть) должны быть исправлены вашим хостинг-провайдером, если они этого не сделают, злоумышленники также могут получить доступ к вашему коду и данным.
person
Erik
schedule
31.12.2014
Неправда, что весь риск лежит на хостинг-провайдере: во-первых, любой риск для хоста — это риск для пользователей этого хоста; во-вторых, конфигурация может быть настроена конкретным пользователем.
- person IMSoP; 31.12.2014
Хм, справедливое замечание. Я обновлю ответ.
- person Erik; 31.12.2014
