包含phpinfo()函数

Question

当我们上传一个包含phpinfo()功能的PHP文件到一个免费的虚拟主机网站时，它会对我造成怎样的安全问题？最终用户是否可以在我的计算机中获取有关PHP的信息？

Answer 1

虽然最终用户无法获得有关您的计算机的信息(因为它没有运行脚本)，但他们将获得有关运行脚本的服务器的大量信息。

这通常不会给你带来安全问题，但它可能会给服务器的所有者(即你放在上面的免费托管网站)带来安全问题，因为它可能会暴露出他们安装了不安全的库，或者使用了类似的已知漏洞的版本。

编辑

但是，请记住，如果托管您的代码的机器被攻击者攻破，这也将对您的应用程序产生影响。虽然安全漏洞(如果有)应该由您的主机提供商修复，如果他们没有，那么攻击者也可以访问您的代码和数据。