Attualmente sto cercando di rendere un po 'più sicura una vecchia applicazione web PHP. Attualmente, l'installazione di apache è tale che tutti i file di classe dell'applicazione sono disponibili per l'accesso degli utenti (sebbene gli indici siano disattivati). Navigando su di essi viene semplicemente visualizzata una pagina vuota, poiché non hanno alcun output e non stanno nemmeno inizializzando alcun oggetto, semplicemente dichiarando le classi.
Si tratta di un problema di sicurezza e di quanto grande? La mia sensazione istintiva è che è un'idea terribile, ma oltre a fornire informazioni sull'attaccante nel setup del server non ho alcun motivo particolare per pensarlo.