Используем phpinfo().


PHP-функция phpinfo() позволяет получить много полезной информации о конфигурации локального сервера, настройках php, переменных окружения, установленных модулях и т.д. Как правило, эту функцию используют, чтобы проверить, имеет ли сервер все необходимые настройки для корректной работы веб-сайта. С другой стороны, если вы перенесли сайт на другой хостинг и вы столкнулись с проблемами в его работе, то попробуйте изучить информацию, предоставляемую функцией phpinfo().

Простейший способ использования данной функции – создать отдельный файл с расширением .php и поместить в него следующее:

1
2
3
<?php
phpinfo();
?>

Без указания дополнительных параметров в скобках функции будет выведена полная информация без фильтрации.

phpinfo()

Функция может принимать следующие параметры (в скобках указаны константы, которые можно использовать вместо числовых значений):

1 (INFO_GENERAL) — Общая информация (дата запуска сервера, конфигурационная строка, местоположение php.ini, информация о сервере и системе и др.)
2 (INFO_CREDITS) – информация о разработчиках и т.п.
4(INFO_CONFIGURATION) – текущие Local и Master переменные
8 (INFO_MODULES) – информация об имеющихся модулях
16 (INFO_ENVIRONMENT) – информация об окружении
32 (INFO_VARIABLES) – демонстрирует предопределенные константы EGPCS (Environment, GET, POST, Cookie, Server)
64 (INFO_LICENSE) — информация о лицензии
-1 (INFO_ALL) – выводится вся информация

Примеры использования:

1
2
3
<?php
phpinfo(16);
?>
1
2
3
<?php
phpinfo(INFO_CONFIGURATION);
?>

Создавая на сервере файл, содержащий данную функцию, не забудьте его потом удалить. В 2010 году на Хабрахабре была опубликована статья, в которой приводились данные одного исследования. Так оказалось, что из 36804 российских сайтов на 1725 нашёлся файл phpinfo.php с функцией phpinfo() . Это примерно 4.69%. То есть более 4 процентов сайтов уже имеют уязвимость перед взломом, так как информация из phpinfo() дает множество полезных сведений для хакеров о текущем сервере.

Например, для взломщика будет небезынтересно получить следующую информацию:

document_root — директория, из которой выполняется текущий скрипт;
safe_mode (default OFF) — безопасный режим;
magic_quotes_gpc (default OFF) — автоматическое экранирование входящих данных;
upload_tmp_dir — путь к tmp-директории;
register_globals (default OFF) — глобальные переменные

и многое другое.





Другие посты

Категория: PHP-скрипты

Оставить комментарий