除非绝对必要，否则不要向任何人提供任何信息。

你应该expose_php=off在你的 PHP.ini 中设置。这告诉 PHP 不要暴露“x-powered-by”HTTP 标头以及可用于识别它的奇怪夸克。您还应该设置display_errors=Off可用于识别 PHP 以及 SQL 注入等基于错误的漏洞。这两种配置应在所有生产系统上使用。您可以更进一步，使用 mod_rewrite 删除或更改 .php 扩展名。

这与“横幅信息披露”类似，即通过服务横幅展示版本信息。您应该能够配置您的 HTTPD 以禁止显示此信息。在 Apache 生产环境集中ServerTokens ProductOnly（感谢 tftd）。但这只会删除版本号，如果要删除“apache”一词，则必须使用 mod_security。

你也可以撒谎>:)。您可以使用 mod_header 设置任何标题，包括一个 fake x-powered-by，并且只需使用 mod_rewrite 采用 .aspx 文件扩展名。

您还可以通过调整以下值来通过模糊性获得更多的安全性：

php_flag display_startup_errors off
php_flag display_errors off
php_flag html_errors off
php_value docref_root 0
php_value docref_ext 0

你可以在这里找到一些好的建议：

http://php.net/manual/en/security.hiding.php