PHPで作られた

Question

91

90pt

<?php
?>
部分は、WEBにアップしたら、閲覧者にソースなどからは絶対に見られることはありませんか？
例えば、属性の数値の変更などによっては見ることができてしまったりするのでしょうか？

回答の条件

※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません

海老原昂輔 · Answer 1 · 2007-05-30T16:23:30+09:00

.phpをPHPとして実行することができない状態（apacheの設定など）であればソースコードを見られてしまうと思います。

hsada · Answer 2 · 2007-05-30T16:26:51+09:00

実行権限が与えられていなかったり、WEBサーバーの設定でPHPを実行しないように設定した場合、単純なTEXTファイルとして表示します。

haniwa91 · Answer 3 · 2007-05-31T12:04:52+09:00

重複になりますが・・・

「PHPとして実行されればソースコードは見られない」

これは正しいです。逆に設定などにより実行されなかった場合に危険があります。

またありがちなミスとしてrequireなどで利用するファイルを「subfile.inc」のような名前にしていると

直接ファイル名を指定された場合にPHPとして実行されず中身が見えてしまうケースがあります。

もうすこしこみいったケースでは外部ファイルの読み込みを動的に行っているプログラムを悪用されるケースがあります。

$file = $_GET['head']; // "default.html" のようなパラメータが欲しい

$header = file_get_contents($file);

echo $header;

?>

上記のコードの場合、headパラメータに「config.php」のような名前を与えてPHPファイルが読み出されてしまいますね。

Yota · Answer 4 · 2007-05-31T17:19:53+09:00

上の回答とかぶりますが、ApacheのモジュールとしてPHPを走らせるなら、httpd.confに下のように書けば、.phpのファイルはPHPのパーサに渡されるため、テキストファイルとしては吐き出されません。

AddType application/x-httpd-php .php

しかし、何かの手違いやクラッカの腕が上手であるために、見られる可能性がないとはいえないでしょう。そこで、念のためパスワードなどの設定ファイルは非公開ディレクトリにおいておいてrequire_once('')で呼び出す、といった対策をする場合が多いようです。

話はそれますが、

error_reporting = E_ALL & ~E_NOTICE

という設定にしてあるため、エラーや警告でスクリプトに何が書いてあるが推測できるサイトは結構世の中にあります。

それとわざわざPHPスクリプトであるということを宣伝する必要もないので

AddType application/x-httpd-php .asp

とか書いておいて、.aspでファイルを作るせこいセキュリティ対策もあります。

回答（4件）