Die [Funktion phpinfo()](http://de.php.net/manual/en/function.phpinfo.php) liefert viele nützliche Informationen die man so als Entwickler so brauchen kann.
Leider auch viele Infos die es einem Angreifer leichter machen irgendwo anzusetzen. Daher ist es immer ratsam diese [Funktion zu blockieren](http://www.php.net/manual/en/ini.core.php#ini.disable-functions). Dazu sollte man auch [Suhosin](http://www.hardened-php.net/suhosin/) verwenden.

Nun gibt es noch einen Grund warum man die phpinfo() Funktion blockieren sollte.

-   [LFI WITH PHPINFO() ASSISTANCE](http://www.insomniasec.com/publications/LFI%20With%20PHPInfo%20Assistance.pdf)

Da wird in Kombination mit temporären Dateien und der phpinfo() Funktion Daten auf den Server geschleust.

Sep 06 2011 © https://www.bananas-playground.net 2000 - 2024