Discussion :

[Mister Paul]

Bonjour,

L'accès public à info.php est-il dangereux pour la sécurité d'un site ?

Merci pour votre retour.


PAul

[rawsrc]

Salut,

tu veux dire laisser l'accès à phpinfo();. Je te répond sans hésiter OUI.
Tu sais sur le net, moins tu files d'infos en tout genre (surtout les aspects techniques) et mieux ça vaut pour toi.
Donc ne laisse absolument rien sortir en dehors des messages d'erreur bateau.
Tu ne dois surtout pas remonter à la surface (je veux dire jusqu'à l'interface web) la moindre information un tant soit peu technique. Les logs sont faits pour ça et rien d'autre.

[grunk]

Donc ne laisse absolument rien sortir en dehors des messages d'erreur bateau.

En production les messages d'erreur c'est dans les logs pas affiché.

Une page phpinfos n'a en soit rien de dangereux. Ce qui est gênant c'est les informations que l'on peut en tirer. Quel version de php , quelles extensions , quel type de serveur web, une partie de l'arborescence , etc ...
Autant de données qui pourrait aider à diriger une attaque.

Il faut bien comprendre que la plus part des attaques ne sont pas ciblés et sont le fruit de ce que retourne des robots qui snif le web à la recherche d'infos. Si des infos intéressantes sont remontées un humains va peut être prendre le temps de s'y pencher.

[Mister Paul]

Donc dans la foulée, je renomme aussi le fichier path.php ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<?php
echo realpath("path.php");
?>

[rawsrc]

non, tu le vires tout simplement