Sowohl die PHP-eigene Funktion phpinfo() als auch ältere Versionen meines phpinfo()-Replacements haben höchst gefährliche Schwächen:
Wer Zugangskennungen (Benutzername, Passwort für ODBC-Datenbankverbindungen oder MySQLi in der PHP.ini, .user.ini (oder in einem Skript mit ini_set()
) gesetzt hat sollte wissen, dass diese Daten ggf. öffentlich angezeigt werden und Angreifern womöglich ein „Türchen von der Größe eines ganzen Sonnensystems“ offen steht.
Gleiches gilt für die Anzeige von $_SERVER['AUTH_USER']
und $_SERVER['AUTH_PASSWORD']
. Hier werden (meine Version: wurden) die Daten einer HTTP-Authentifizierung angezeigt. Das geschieht zwar nur bei berechtigten Benutzern, kann aber von Dritten womöglich gesehen oder aufgenommen werden.
Meine aktuelle Version des Replacements zeigt diese Daten nicht mehr an. Da ich in einem anderen Forum schon gesehen habe, dass mein Skript benutzt wurde, bitte ich darum, eventuell selbst gehostete Versionen einem Update zu unterziehen.
Generell ist es aber die beste Idee, diese und solche Skripte (genauer die Ausgaben bei deren Ausführung) nicht öffentlich abrufbar zu machen. Über die Notwendigkeit, https zu benutzen muss man ja nichts mehr schreiben- oder?