おさかなラボ - phpinfo.phpとかやめようよPHPの関数にphpinfo()というものがあり、これをPHPファイルに含めるとPHPの設定・動作状況が分かるので使ったことのある方は多いだろう。しかしそのPHPファイルをサイトのドキュメント・ルートに、「phpinfo.php」や「info.php」などと非常に分かりやすい名前で設置している例を非常によく見かける。1度や2度ではない。 本人はすぐ消すから大丈夫だと思ってそうしているのだろうが、人間は忘れる動物である。その証拠に私が発見した事例は全て「運用中」のサイトであり、つまりは「消し忘れ」であった。 PHPの設定・動作状況を他人に晒すことは、セキュリティ・ホールの発見のお手伝いをしているのと同じなのでもっと注意深く設置する必要がある。 対策の一つとしては、パスワードで保護された領域にこれを置くことである。しかしこれは現実性を欠く。既にそういう領域があるならよいが、たかが設定情報
