Se Apache è configurato per analizzare PHP e non consentire l'indicizzazione di file, ci sono altri modi in cui gli utenti possono vedere il codice sorgente PHP, con o senza intenzione?
Se Apache è configurato correttamente con il modulo php caricato e corretto i tipi mime, dovresti aspettarti di non avere alcun codice divulgato al client.
Esempio:
AddModule mod_php.c
LoadModule php_module modules/mod_php.so
LoadModule php5_module modules/libphp5.so
AddType application/x-httpd-php .php
Non sembrano esserci attacchi contro i tipi di mime in apache che potrebbero rompere questo comportamento che io conosco. Dovresti essere più preoccupato delle pratiche di codifica scadenti e divulgare il codice sorgente tramite altri mezzi come attacco di inclusione di file .
PHP ha un'estensione .phps che abbellisce il codice sorgente per la condivisione. Se utilizzi questi file, assicurati di spogliarli di qualsiasi nome utente e password prima di condividerli. Potrebbe essere possibile che un file venga erroneamente denominato .phps insteaf di .php - improbabile, ma possibile.
Ecco un esempio di come gli hacker utilizzano la vulnerabilità di inclusione dei file al codice sorgente di divulgazione PHP. Se non è configurato correttamente, può persino portare a una vulnerabilità legata all'esecuzione di codice in modalità remota.
PHP security exploit - elenca il contenuto del file PHP remoto?
Leggi altre domande sui tag php source-code apache