Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
est-ce que laisser en ligne une page qui affiche le phpinfo est très risqué ?
bonjour,
est-ce que laisser en ligne une page qui affiche le phpinfo() est très risqué, très risqué, sans risque ?
Si on en a dans plusieurs dossiers (car plusions sous-domaine), n-a-t-il pas un moyen de les laisser accessible par mot de passe ou par ip ?
Merci de votre conseil
Bonjour,
Perso je laisse jamais çà dispo Online, tout comme je cache autant que faire ce peut les versions.
Plusieurs sous domaines, imho une seule version de php.
Si il faut "toujours" avoir accès à ces infos, il suffit juste d'enregistrer la page via le browser et de faire disparaitre le phpinfo.
hth,
Oui et oui. En Apache on peut faire ça avec un .htaccess ou une directive plus générale dans la conf.Envoyé par clavier12AZQSWX
Si c'est dangereux ? Pas directement. Mais cela donne des information à un potentiel attaquant, notamment si vous avez une vieille version de PHP, ou une version précise pour laquelle certaines failles sont connues. Plus les modules installés et activés.
Toutefois, je ne vois pas quel serait la bonne raison de laisser ce genre de page en ligne. Une fois qu'on a pris connaissance de la config, ce n'est pas comme si elle changeait tous les jours.
2 intérêts (ou 2 raisons) :Toutefois, je ne vois pas quel serait la bonne raison de laisser ce genre de page en ligne. Une fois qu'on a pris connaissance de la config, ce n'est pas comme si elle changeait tous les jours.
- je suis sur un hébergement mutualisé, donc la version de PHP OU ses divers directives/options OU mod cimplémentaires sont activés/mis à jour au bon vouloir de mon hébergement et sans forcément m'avertir.
- impssibilité à certaines ocassion de consulter directement la config à distance
Bonsoir
Vous avez un dashboad / control panel non chez votre hébergeur ? L'information se trouve là-bas. Donc, pour moi aussi, il n'est pas nécessaire d'avoir ce phpinfo en permanence.
Maintenant c'est évidemment votre choix et oui, il est possible de le protéger avec un fichier .htaccess (afin de spécifier quoi protéger) et un fichier .htpasswd pour y mentionner le login et le password à utiliser.
Il existe plusieurs générateurs online sur le net.
Bonjour si tu as besoin les infos de config régulièrement tu peux imaginer une tâche CRON qui t'envoie tout ça par email quand tu veux.
Ou alors tu te crées ton propre dashboard qui affiche ce dont tu as besoin ?
Tu as des variables pHP qui te permettent de récupérer les configs qui t'intéressent..
Bon courage
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager