是否可以从phpinfo中混淆或删除环境变量?
如果没有,是显示phpinfo功能的唯一选择吗?
进一步考虑,有人可以轻松print_r($ _ SERVER)并获得凭据。对此有什么解决方法?
澄清 这与Apache Environment Variables有关。
答案 0 :(得分:1)
Suhosin patch执行此操作:
除此之外,我不知道如何干净地隐藏这些变量。使用以下名称忽略GET,POST,COOKIE变量: GLOBALS,_COOKIE,_ENV,_FILES,_GET,_POST,_REQUEST _SERVER,_SESSION,HTTP_COOKIE_VARS,HTTP_ENV_VARS HTTP_GET_VARS,HTTP_POST_VARS,HTTP_POST_FILES HTTP_RAW_POST_DATA,HTTP_SERVER_VARS,HTTP_SESSION_VARS
也就是说,首先应该没有必要 - 外部访问者不能运行phpinfo(),也不能转储任意变量。