知らなかったよ、expose_php

最近 PHP のセットアップ時にいつもやってる設定 | バシャログ。

/etc/php/php.ini

[PHP]

expose_php = Off

上記記事を読んでて、『ほー最近はセッションの保存先をデフォルトでmemcachedにするのが流行り?』などと思っていましたが、php.iniの設定でexpose_phpというのがどうも記憶に無かったので調べてみました。

expose_php boolean

PHP がサーバーにインストールされていることを全世界に晒し、PHP のバージョンも HTTP ヘッダに含めます (X-Powered-By: PHP/5.3.7 など)。 PHP のロゴの guid も公開されるので、PHP を有効にしたサイトの URL にそれを追加すると guids are also exposed, thus appending them to the URL of a PHP enabled site (例: » http://www.php.net/?=PHPE9568F34-D428-11d2-A769-00AA001ACF42) ロゴが表示されるようになります。この設定は phpinfo() の出力にも影響し、無効にすると PHP のロゴやクレジット情報が表示されなくなります。

ApacheのServerTokenのようなものですかね。こういうのは別にOffでも構わない、というか古いPHP使ってるのがバレるとマズいので(古いのを使ってる状況がそもそもマズいんだけど)隠しておくのが無難かもしれません。

私はPHPに関してはOffでいいと思うな。