Em geral, segurança por obscuridade é uma das maneiras mais fracas de segurança.
Mas em alguns casos, cada pequena medida de segurança extra é desejável.
Algumas técnicas simples podem ajudar a esconder o PHP, possivelmente retardando
um atacante que está tentando descobrir fraquezas no seu
sistema. Ao configura a diretiva expose_php = off no seu arquivo php.ini,
reduz a quantidade de informação disponível à eles.
Outra tática é configura o servidor web, como o Apache, para
executar tipos de arquivos diferentes pelo PHP, ou por uma diretiva
de arquivo .htaccess, ou no próprio arquivo de configuração do Apache.
Você pode então usar extensões de arquivos falsas:
Exemplo 32-1. Escondendo o PHP como outra linguagem # Fazer código PHP parecer com outros tipos de códigos
AddType application/x-httpd-php .asp .py .pl |
|
Ou obscurecer completamente:
Exemplo 32-2. Usando extensões desconhecidas para o PHP # Fazer código PHP parecer com tipos desconhecidos
AddType application/x-httpd-php .bop .foo .133t |
|
Ou esconder ele como código HTML, o que tem uma pequena queda de performance
porque todo HTML será avaliado pelo engine do PHP:
Exemplo 32-3. Usando extensão HTML para o PHP # Fazer código PHP parecer com HTML
AddType application/x-httpd-php .htm .html |
|
Para isso funcionar efetivamente, você deve renomear seus arquivos PHP com
as extensões acima. Embora seja uma forma de segurança por
obscuridade, é uma medida preventiva pequena com poucos custos.