提醒:本页面将不再更新、维护或者支持,文章、评论所叙述内容存在时效性,涉及技术细节或者软件使用方面不保证能够完全有效可操作,请谨慎参考!

今天在查询PHP官方手册时有两个函数 php_logo_guid zend_logo_guid 引起了我的兴趣,其函数原型以及返回内容如下:

string php_logo_guid ( void );
// Returns PHPE9568F34-D428-11d2-A769-00AA001ACF42
string zend_logo_guid ( void );
// Returns PHPE9568F35-D428-11d2-A769-00AA001ACF42

这两个函数返回的以PHPE95..开头字符串,这个字符串有什么用呢?比如 php_logo_guid 手册举了一个例子:

<?php

echo '<img src="' . $_SERVER['PHP_SELF'] .
     '?=' . php_logo_guid() . '" alt="PHP Logo !" />';

?>

如果一切正常的话,页面会输出一个PHP Logo,实际上图片地址存在任意的php页面后跟?=PHPE9568F34-D428-11d2-A769-00AA001ACF42这样的guid串,如果PHP是默认配置的话每个PHP页面都能找到,比如说有index.php,可以尝试访问 index.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 ,再看一下zend_logo_guid显示的图片,现在有些眼熟了吧,没错这些图片都被 phpinfo() 输出信息所调用。

我们可以在PHP 源码的 ext/standard/info.h 中找到相关标识图片GUID的定义:

#define PHP_LOGO_GUID         "PHPE9568F34-D428-11d2-A769-00AA001ACF42"
#define PHP_EGG_LOGO_GUID   "PHPE9568F36-D428-11d2-A769-00AA001ACF42"
#define ZEND_LOGO_GUID      "PHPE9568F35-D428-11d2-A769-00AA001ACF42"
#define PHP_CREDITS_GUID  "PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000"

除了我们刚才知道的PHP Logo和Zend Logo的外,还有两个PHP_CREDITS_GUID和PHP_EGG_LOGO_GUID比较新鲜,尝试PHP_CREDITS_GUID后发现其不是显示的图片,而是显示了一长串的Credits,包含创作团队的名字;另外一个PHP_EGG_LOGO_GUID是什么呢?从名字上也能猜出一二,嘿,是个复活节彩蛋,我上面显示了是个毛绒蓝色的大象,上面印上了PHP字样,据说这个彩蛋有以下几种:

PHP复活节彩蛋

好了,娱乐了这么长时间,下面好一本正经下了,多数情况下Hackers会在攻击服务器前收集相关服务器的信息,然后进行有针对的攻击措施,我们不想让不怀好意者知道我们Web后台的开发语言,除了隐藏后缀(*.php)以及隐藏服务器或者cgi版本外,刚才提到的这些信息也是我们重点隐藏的对象。为了安全,只能和这些有趣的东东说再见了,其实PHP里面隐藏这些内容也很容易,不说大家也知道去改配置文件php.ini,至于改哪个选项,我这里交待一下,那就是 expose_php ,将其改为Off即可,我前面文章 《隐藏Nginx和PHP版本号》 也提及过这个选项,当时只知道可以隐藏PHP版本号,没想到设置为Off后还能一并隐藏PHP Credits以及Guid图片,配置如下:

;;;;;;;;;;;;;;;;;
; Miscellaneous ;
;;;;;;;;;;;;;;;;;
 
; Decides whether PHP may expose the fact that it is installed on the server
; (e.g. by adding its signature to the Web server header).  It is no security
; threat in any way, but it makes it possible to determine whether you use PHP
; on your server or not.
; http://php.net/expose-php
expose_php = On

刚才看到有人通过设置apache的.htaccess来禁止访问这些GUID的URL,虽然灵活性较差,不过也分享出来供大家参考吧:

# 禁止特定GUID
RewriteEngine On 
RewriteCond %{QUERY_STRING} \PHPE9568F36-D428-11d2-A769-00AA001ACF42\ [NC] 
RewriteRule .* - [F] 

# 或者正则禁止所有已知GUID
# See https://akeeba.assembla.com/code/master-htaccess/git/nodes/htaccess.txt
RewriteEngine On 
RewriteCond %{QUERY_STRING} \=PHP[a-f0-9]{8}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{12} [NC] 
RewriteRule .* - [F]

最后,更改过配置别忘了让PHP或者Web服务器重新加载配置哦。

参考文档