如何完全彻底隐藏PHP？

[pupuk]

有的时候，有个奇怪&莫名其妙的想法，就是不想让别人知道我们的网站是用什么语言开发的。 对，就是让别人（包含渗透者）不知道。。 java? PHP? Golang? Python...

1. URL

• 可以通过伪静态，用Apache或nginx来配合PHP，实现整个URL是伪静态的，也没有任何php的痕迹；
• 首页入口隐藏掉/index.php； 比如这个URL：https://btc.com/ ，这个网站里面的url也是伪静态的，乍一看也看不出是什么语言开发的。 但是我们可以尝试在URL后面补上一个index.php看看。 发现也能正常打开，这样我们可以配合其它信息，来看这个网站到底是不是PHP开发的。

这块要隐藏的话，最简单的是在nginx的配置中index指令中，修改一下index文件，随便起个名子，然后对应的项目文件，把index.php改成一致的就行。比如：

这样别人通过在URL后面补文件的方式就不行了。 他最多也是就是猜猜 index.php, route.php, home.php 怎么能猜到x82y9zux.php? 当然这块更高阶的方法，等下单独细说。

2. HTTP 响应头

• HTTP请求的Response Headerh会返回一些信息，其中可能就包含PHP相关的信息；比如
• 隐藏方法 可在nginx里面隐藏X-Powered-By响应头，在nginx配置文件里增加，作用域是http，server，location fastcgi_hide_header X-Powered-By; proxy_hide_header X-Powered-By; 如果nginx有这个模块： https://github.com/openresty/headers-more-nginx-module 怎么编译nginx，怎么把第三方模块编译进nginx，可参见上一篇文章： 编译安装Nginx并添加第三方模块 还可以使用： more_clear_headers 'X-Powered-By'; OR直接php都不主动暴露了。。 修改php.ini文件 设置 expose_php = Off

3. COOKIE，SESSION，Storage等

• 可能设置session ID的时候，会自动调用PHP的默认值，比如PHP会设置默认的session id；
• 隐藏方法 全局： php.ini 找到session.name = PHPSESSID 改之； 本项目： session_name('mySessionName'); session_start();

4. PHP错误日志

• 别人可以乱构造URL和参数，看我们的网站报错不？有时候报错信息输出到浏览器了，除了会暴露是PHP，还可能暴露目录结构，和部分代码，要引起重视的。

解决： 我们生产环境的时候，忽略了notice，warning以上的错误记录到服务器的日志上，但是不应给抛到页面上来； 本项目：ini_set("display_errors", "Off"); 全局：vim php.ini  display_errors = Off 本地开发或者测试环境的时候，可以把错误通过HTTP抛出来，抛到页面上，方便早些发现错误，方便bug定位 本地，测试，生产可以配置error_reporting不同的级别，方便开发处理和线上运行；

5. 框架特征

• PHP现在常用的框架还是Lavavel，Yii，ThinkPHP等 比如： 解决： 这个可以适当微调框架代码就ok

[pupuk]

如何更巧妙地隐藏项目的入口文件index.php?

先直接看结论：

娓娓道来： 这个是nginx的配置，我们在server作用域里面配置了index指令，如上图，让nginx先去找index.run, 找不到的话，再找index.html, 以此类推。 当用户访问：http://www.domain.com/ 的时候，nginx会去找 http://www.domain.com/index.run 我们再把index.run重写成index.php, 则后面匹配php的部分就能正常工作了。需要在项目入口创建一个index.run文件（随便什么文件，只要文件名是index.run就行），跟index.php同级的，这很重要 比如我就就在项目入口，用shell命令 touch index.run 创建一个新的空白文件

在重写之前，我们先拦截index.php, 那个if的意思是： ~*不区分大小写的正则匹配 index\.php是一个正则表达式，就是 index.php .是.的转义字符。 只要uri中包含了，不管大小写的index.php，我们就让nginx抛出404状态并结束该请求。

注： 1、使用index指令，当访问一个目录的时候，index指令会在$uri后面补充一个index.run，然后判断此文件是否存在，不存在则返回403（这也是上面提到很重要的原因），然后再执行下面的location，if匹配，最后才执行相关的代码；所以我们还是需要在相应目录下面建立一个index.run文件，哪怕是空文件，不然就会返回403 Forbidden。

如果框架还有多个，应用目录入口，则需要对应的入口 都放入一个空的index.run文件

2、只要uri里面包含index.php，拒绝掉，返回404； http://www.domain.com/index.php http://www.domain.com/abc/def/index.php 以上2个请求，都会返回404.

但是参数里面有php的不会被拦截返404，因为$uri不包含主机，不包含端口，也不包含参数。比如： http:www.domain.com/?k1=v1&k2=v2&k3=xyz.index.php&k4[name]=jack&k4[gender]=male

Nginx系统变量，参见：http://nginx.org/en/docs/varindex.html

3、如过$uri里面包含了index.run，则把index.run替换成index.php，index.run前后的内容保持不变。

当然，更狠的是这种： 这种只要uri中包含了 .php（不区分大小写），就让nginx抛404了