PHP Eastereggs per .htaccess abschalten

morphwarp · Okt 2, 2010

aus Sicherheitsgründen und weil meine Website mit einer unhübschen Endung im Google Index aufschien, mußte ich die PHP Eastereggs abschalten, dazu fand ich 2 Varianten:

über .htaccess

RewriteCond %{QUERY_STRING} ^%3F=PHPE9568F36-D428-11d2-A769-00AA001ACF42 [OR]
RewriteCond %{QUERY_STRING} ^%3F=PHPE9568F34-D428-11d2-A769-00AA001ACF42 [OR]
RewriteCond %{QUERY_STRING} ^%3F=PHPE9568F35-D428-11d2-A769-00AA001ACF42 [OR]
RewriteCond %{QUERY_STRING} ^%3F=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 [OR]
RewriteRule ^(.*)$ - [R=404,L]

oder

in php.ini (die bei meinem Provider keinen Effekt zeigt) habe ich diese Zeile eingefügt:

expose_php = Off

Da %3F kein Bestandteil der Umgebungsvariable QUERY_STRING ist, hatte das nicht wie gehabt funktioniert.
Die Lösung des Problems:

RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} PHP[^&]+
RewriteRule ^(.*)$ http://www.meine-domain.com/? [R=302,L]

Von eine 404 Umleitung ist laut Webmaster Forum abzuraten.

LX · Okt 4, 2010

morphwarp hat gesagt.:
in php.ini (die bei meinem Provider keinen Effekt zeigt) habe ich diese Zeile eingefügt:

expose_php = Off

Je nach Provider würde es mich wundern, wenn man Zugriff auf die php.ini bekommt. Unabhängig davon muss der Webserver aber auch neu gestartet werden, damit die Konfigurationsänderung eingelesen wird. Und spätestens das werden Webhoster ihren Kunden besser nicht erlauben.

morphwarp · Okt 4, 2010

Server neu starten

schon klar LX, aber nach der letzten DDoS Attacke hat er neugestartet.

Da hat man eben einen kleinen Vorteil (?) wenn man eine VM Server mietet :wink:

lG

LX · Okt 4, 2010

Dann könnt's noch sein, dass du die falsche php.ini erwischt hast (z.B. eine für command line PHP statt für das Apachemodul). phpinfo() sollte die aktuell verwendete Konfigurationsdatei ausgeben.