最近 PHP のセットアップ時にいつもやってる設定 | バシャログ。
/etc/php/php.ini
[PHP]
expose_php = Off
上記記事を読んでて、『ほー最近はセッションの保存先をデフォルトでmemcachedにするのが流行り?』などと思っていましたが、php.iniの設定でexpose_phpというのがどうも記憶に無かったので調べてみました。
expose_php boolean
PHP がサーバーにインストールされていることを全世界に晒し、PHP のバージョンも HTTP ヘッダに含めます (X-Powered-By: PHP/5.3.7 など)。 PHP のロゴの guid も公開されるので、PHP を有効にしたサイトの URL にそれを追加すると guids are also exposed, thus appending them to the URL of a PHP enabled site (例: » http://www.php.net/?=PHPE9568F34-D428-11d2-A769-00AA001ACF42) ロゴが表示されるようになります。この設定は phpinfo() の出力にも影響し、無効にすると PHP のロゴやクレジット情報が表示されなくなります。
ApacheのServerTokenのようなものですかね。こういうのは別にOffでも構わない、というか古いPHP使ってるのがバレるとマズいので(古いのを使ってる状況がそもそもマズいんだけど)隠しておくのが無難かもしれません。
私はPHPに関してはOffでいいと思うな。