このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

phpinfo()について このメッセージに返信する
日時: 2007/10/26 22:16
名前: えり
URL:

こんにちわ

phpinfo()関数を使用できないようにするには
どこを設定すればいいのでしょうか?

phpinfo()関数が使用できてしまうのは
サーバー情報が出て
セキュリティ上よろしくないと思いますので。><

yahooやgoogleで検索してみたのですが、
わかりませんでした。

よろしくお願いいたします。
記事編集 編集
Re: phpinfo()について このメッセージに返信する
日時: 2007/10/26 22:52
名前: Jin
URL:
Jinです。

> phpinfo()関数を使用できないようにするには
> どこを設定すればいいのでしょうか?
> phpinfo()関数が使用できてしまうのは
> サーバー情報が出て
> セキュリティ上よろしくないと思いますので。><

「phpinfo()関数はセキュリティ上問題 → 使用できなくする。」
とのお考えですが、使用しているサーバはレンタルサーバを
運用して不特定多数の人に使用させているのでしょうか?

一人で使用しているのであれば、基本的にはphpinfo()関数を
使用しない。その様なプログラムを設置しないことが
セキュリティ対策だと思います。

もし、どうしても使用禁止にしたければ、ソースから機能を
削除しインストールすることをお勧めします。

> yahooやgoogleで検索してみたのですが、
> わかりませんでした。

又聞きで危険だからと安易に使用できなくする事を考えるのではなく
使用目的にあったセキュリティ対策とは何かと言う事を書籍などで
一度確認することも重要です。
記事編集 編集
Re: phpinfo()について このメッセージに返信する
日時: 2007/10/27 00:10
名前: えり
URL:
こんにちわ

>「phpinfo()関数はセキュリティ上問題 → 使用できなくする。」
>とのお考えですが、使用しているサーバはレンタルサーバを
>運用して不特定多数の人に使用させているのでしょうか?
>
レンタルサーバーを運用していて、不特定多数の人に提供しています。
サーバー情報が見えてしまうのは、あまりよくないと思いますので。


>一人で使用しているのであれば、基本的にはphpinfo()関数を
>使用しない。その様なプログラムを設置しないことが
>セキュリティ対策だと思います。
>
>もし、どうしても使用禁止にしたければ、ソースから機能を
>削除しインストールすることをお勧めします。
>
ソースからインストールはしてないので。;;

>又聞きで危険だからと安易に使用できなくする事を考えるのではなく
>使用目的にあったセキュリティ対策とは何かと言う事を書籍などで
>一度確認することも重要です。
>
今度時間のある時に書籍を買ってみたいと思います
記事編集 編集
Re: phpinfo()について このメッセージに返信する
日時: 2007/10/27 05:34
名前: 旅人
URL:
>phpinfo()関数を使用できないようにするには
>どこを設定すればいいのでしょうか?

php.iniの中に以下の項目があります
expose_php=On
これを
expose_php=Off
にすることで、phpinfo()は利用できなくなります。
また同時にHTTPヘッダ内にもPHPのVerが出なくなります。

これではどうでしょうか?
記事編集 編集
Re: phpinfo()について このメッセージに返信する
日時: 2007/10/27 10:14
名前: えり
URL:
>php.iniの中に以下の項目があります
>expose_php=On
>これを
>expose_php=Off
>にすることで、phpinfo()は利用できなくなります。
>また同時にHTTPヘッダ内にもPHPのVerが出なくなります。
>
>これではどうでしょうか?


こんにちわ

php.iniの設定で
expose_php=Offとしているのですが、
phpinfo()を確認してみると、使用できてしまいます。
どこがいけないのでしょうか
ほかに設定する箇所はあるのでしょうか?

記事編集 編集
Re: phpinfo()について このメッセージに返信する
日時: 2007/10/27 15:31
名前: 旅人
URL:
こんにちわ

>php.iniの設定で
>expose_php=Offとしているのですが、
>phpinfo()を確認してみると、使用できてしまいます。

忘れていました。
expose_php=Offとあわせて
disable_functions = phpinfo
とphp.iniに記述してみてください。
disable_functionsオプションで利用不可にする関数を指定できます。
記事編集 編集
Re: phpinfo()について このメッセージに返信する
日時: 2007/10/27 18:57
名前: えり
URL:
こんにちわ

>expose_php=Offとあわせて
>disable_functions = phpinfo
>とphp.iniに記述してみてください。
>disable_functionsオプションで利用不可にする関数を指定できます。

disable_functions = phpinfo
を指定しましたら、
空のファイルのみ表示されて、phpinfo()を使用不可にすることができました。
何とか解決しました。
ありがとうございました。(^^)

あともうひとつ質問なのですが、
.htaccessでもこういった関数を制限することはできるのでしょうか?
よろしくお願いいたします。
記事編集 編集
Re: phpinfo()について このメッセージに返信する
日時: 2007/10/27 20:10
名前: 旅人
URL:


PHPの公式のマニュアル(以下)より
http://php.liukang.com/manual/ja/features.safe-mode.php

disable_functions "" php.ini only PHP 4.0.1 から利用可

と書かれているので、php.iniでのみ利用可能のようです。
記事編集 編集
Re: phpinfo()について このメッセージに返信する
日時: 2007/10/28 19:22
名前: Jin
URL:
Jinです。

# なぜか?http://php.liukang.com/manual/ja/features.safe-mode.phpには接続できません。

http://us3.php.net/features.safe-mode

# PHP のセーフモードは、共有サーバでのセキュリティの問題を解決するための試みです。
# この問題を PHP のレベルで解決しようとするのはアーキテクチャ上正しくありません。
# しかし、Web サーバや OS レベルでの代替策はあまり現実的ではないため、 多くのユーザ、
# 特に ISP ではセーフモードが現在使用されています。

# セーフモードは、PHP 6.0.0 で削除されます。

以上の様な文書があります。

どちらにしろ「レンタルサーバーを運用」しているのであれば、根本的なセキュリティポリシー
の策定から検討したほうがよろしいと思います。(分からなければ掲示板で質問?)
少なくとも私は、費用が安くて(無料含む)もこの様な管理のレンタルサーバーは怖くて使用できません。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -