对用户隐藏 PHP

Question

有没有办法向用户隐藏我正在使用 PHP 的事实？我想这样做有两个原因：

• 1）这样地址栏中的链接看起来更干净（就像 stackoverflow 上的这里一样）
• 2）为了防止潜在的黑客立即知道要寻找什么

第 2 点是否现实，或者黑客会知道什么我还用着呢？我将 nginx 与 php5-fpm 一起使用。

Answer 1

RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME}\.php -f
RewriteRule ^(.*)$ $1.php

http://eisabainyo.net/weblog/2007/ 08/19/通过-htaccess 删除文件扩展名/

Answer 2

除了 mod_rewrite 更改之外，还将 expose_php 设置为 false：

Answer 3

上面（或者也许下面）的答案提供了技术方面的信息，让我回答道德方面的信息：

不要这样做。第2点完全无效，如果有人想加害，这也阻止不了。然而，适当的安全检查会。第 1 点几乎没有任何意义，现在已经没有人再输入链接了。

Answer 4

保持 PHP 不被公众访问的最佳方法是相应地构建文件夹结构。最佳实践是将库和应用程序文件保持在公共文件夹的至少上一级，例如：

/application
    // application files
/library
    // library and vendor files
/public (aka public_html, htdocs etc)
    index.php
    .htaccess
    /css
    /images
    /js

使用 htaccess 和 mod_rewrite 将请求路由到 index.php 文件，然后该文件会将请求分派到应用程序。

RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php

这样，您只有一个可公开访问的 php 文件，其中仅包含无法通过任何 url 访问的其他文件

Answer 5

1) 所以地址栏中的链接看起来更干净（就像 stackoverflow 上的这里一样）

嗯。好的

2）防止潜在的黑客立即知道要寻找什么

隐秘的安全性。相信我，这不会让他们放慢太多脚步。

然而，这样做的一个非常有效的原因是，您的网站不与特定的开发语言绑定。

我看到有几个人已经提到了 mod_rewrite。这是一个解决方案 - 但它是一个需要掌握的非常复杂的工具。另外，在 URL 路径中嵌入 CGI 变量时要非常小心 - 您可能会很快破坏内容。

一个简单的解决方案是将每个入口点 php 脚本（即任何不是包含/需要文件的文件）实现为“index.php”并通过其目录引用它。

或者选择您自己的文件扩展名，并将配置中对 .php 的引用替换为您的扩展名。