サーバ情報がダダ漏れになってます : makoto_fujimotoのblog昔、エンジニアをマネジメントしてた際に口を酸っぱくして言っていたことがあります。 「"phpinfo()"を書いたPHPファイルを置きっぱなしにするな」 このPHP関数はApacheやPHPの設定情報を確認する際に便利で、バージョンを初め各モジュールのインストール状態やパスや環境変数の大半を見ることができます。この情報を基準としてプログラミング作業などを行います。 反面、これらの出力はこれからサイトに攻撃を仕掛けようとするハッカーにとっても非常に有用な情報となり、つまり「手の内」を自らさらけ出してしまうことにもなります。したがってこの様なPHPファイルの所在を知られることはサイトの脆弱性を著しく高めることになります。 プログラマやネットワークエンジニアは開発初期にphpinfoの内容を確認するためにPHPファイルを使用しますが、このファイル名が"性善説"に基づいて命名されることが多く、しか
