公開phpinfo（）ページを持つことのセキュリティリスク？

私が持っているだけの公にアクセス可能なページがあります

<?php phpinfo(); >

ベータ版ではデバッグの目的で使用しますが、ライブサイトのときにアクセス可能にしておくことに害はありますか？

— シリコンピ
ソース

これは、PHPのインストールに対する信頼度に完全に依存します。PHPのインストールについて攻撃者がすべて知っているとしても、それが堅固であると思う場合は、そのままにしておくことができます。

しかし、本当に、とにかくこれを本番システムにそのままにしておくのはなぜですか？PHPのバージョンに気づいていないエクスプロイトが存在する可能性があります。現在または将来、PHPのバージョン、または有効にした特定のオプションをスキャンする可能性があります。これらのエクスプロイトの実行方法を知っているためです。したがって、これを公開しておくことにより、あなたは自分をヒットリストに追加しました。

それを維持したい場合は、パスワードで保護されたディレクトリに置くか、必要なときにスイッチを入れてください。これらのオプションの費用はわずかであることを考えると、私はそれを公開し続けるリスクを負いません。

— dunxd
ソース

通常、関数呼び出しを条件付きでラップすることでトリックが行われます。つまり、<?php if ( $_SERVER['REMOTE_ADDR'] == '1.2.3.4' ) phpinfo(); ?>（1.2.3.4IPアドレスはどこにあるのか）

— danlefree

@dunxdに感謝-ヒントに@danlefreeに感謝... phpinfoを公開しているサイトはたくさんあります！

— Siliconpi

phpmyadminを公開しているサイトもたくさんあります。他の人の低セキュリティの例には従わないでください。彼らはあなたがあなたのものを評価するのと同じくらい彼らのデータや彼らのサーバーの完全性を評価しないかもしれません。

— dunxd 2010年

@dunxdの解決策は完全で完璧ですが、問題に対する@danlefreeの解決策は本当に気に入っています。なぜこれまで考えたことがないのかわからないので、今後このモデルを使用します。話題を続けるために、phpinfo()関数内でPHPを公開することは賢い考えではないと私も考えています。

— justinhartman 2017年