PHP是一種廣泛使用的服務器端編程語言，開放了許多有用的函數(shù)和方法，但其中有些函數(shù)容易受到漏洞攻擊。

例如，有一個叫做“expose_php”的PHP配置選項，它可以讓網(wǎng)站返回PHP版本信息。這聽起來很有用，因為它可以幫助開發(fā)人員確保他們的代碼與PHP的特定版本兼容。但是，如果攻擊者知道你的PHP版本，他們就可以利用已知的安全漏洞來攻擊網(wǎng)站。

下面是一些常見的攻擊方法和如何防止它們。

1.利用PHP版本號進一步攻擊

$ curl -I http://example.com/
HTTP/1.1 200 OK
Date: Sun, 05 Mar 2017 17:46:32 GMT
Server: Apache/2.4.18 (Ubuntu)
X-Powered-By: PHP/7.0.4

攻擊者可以使用類似這樣的curl命令來獲取網(wǎng)站服務器上PHP版本信息。如果使用的是比較舊的PHP版本，攻擊者將更容易地找到可以利用的漏洞或者已知的問題。一種防止這種攻擊的方法是在Apache Web服務器上使用“expose_php off”選項來隱藏PHP版本信息。

2.查找知名漏洞

有些攻擊者已經(jīng)在互聯(lián)網(wǎng)上發(fā)布了可以利用已知漏洞的公共代碼。這些代碼可以使用當前已知的漏洞，可能觸發(fā)遠程代碼執(zhí)行，目錄遍歷，解壓縮漏洞或其他漏洞。如果你的PHP版本是一個已知的易受攻擊的版本，攻擊者可能會使用這樣的工具來入侵你的網(wǎng)絡。

通過使用開源漏洞掃描方案或在系統(tǒng)上安裝更新程序并跟蹤漏洞，可以防止此類漏洞的攻擊。

3.使用Web防火墻來防止攻擊

無論你在PHP配置中使用什么參數(shù)，都必須隨時注意漏洞或者其它安全問題的出現(xiàn)。同時，使用Web防火墻(例如mod_security)將有助于阻止已知的SQL注入，跨站腳本和其他類型的攻擊。

需要注意的是，挽救所有的攻擊可能是不可能的。但是，通過暴露PHP版本信息來使自己陷入失敗是可以避免。