Escondendo o PHP

Em geral, segurança por obscuridade é uma das maneiras mais fracas de segurança. Mas em alguns casos, cada pequena medida de segurança extra é desejável.

Algumas técnicas simples podem ajudar a esconder o PHP, possivelmente retardando um atacante que está tentando descobrir fraquezas no seu sistema. Configurar a diretiva expose_php para off no arquivo php.ini, reduz a quantidade de informação disponível aos atacantes.

Outra tática é configurar o servidor web, como o Apache, para executar tipos de arquivos diferentes pelo PHP, ou por uma diretiva de arquivo .htaccess, ou no próprio arquivo de configuração do Apache. É possível usar extensões de arquivos como disfarce:

Example #1 Escondendo o PHP como outra linguagem

# Fazer código PHP parecer com outros tipos de códigos
AddType application/x-httpd-php .asp .py .pl

Ou obscurecer completamente:

Example #2 Usando extensões desconhecidas para o PHP

# Fazer código PHP parecer com tipos desconhecidos
AddType application/x-httpd-php .bop .foo .133t

Ou esconder ele como código HTML, o que tem uma pequena queda de performance porque todo HTML será avaliado pelo engine do PHP:

Example #3 Usando extensão HTML para arquivos PHP

# Fazer código PHP parecer com HTML
AddType application/x-httpd-php .htm .html

Para isso funcionar efetivamente, deve-se renomear os arquivos PHP com as extensões acima. Embora seja uma forma de segurança por obscuridade, é uma pequena medida preventiva e com poucos custos.