Lieber Dennis

Danke erstmal für Deine schnelle und ausführliche Antwort.

1. Das täuscht eine Sicherheit vor, die nicht vorhanden ist.

Doch, das ist klar. Mir geht es dabei auch nicht darum,
eine zusätzlich Sicherheit der Scripte zu erreichen.
Diese sollten natürlich immer sicher "programmiert" sein.

Mir ging es nur darum, nach aussen hin nicht gleich jedem
"auf die Nase zu binden", dass ich eben PHP verwende.
Klar, ein richtig professioneller "Angreifer" wird sich davon
nicht abschrecken lassen.
Aber so Leien-Hacker kann man sich damit vielleicht etwas
vom Hals halten, dachte ich.
Und solchen Bots, die automatisch nach PHP-Dateien suchen usw.

2. Man muss in der php.ini natürlich expose_php (oder so ähnl.) auf off stellen, sonst ist das natürlich witzlos, weil PHP dann einen Header X-Powered-By PHP x.x mitschickt.

Da ich keinen eigenen Server betreibe, sondern meine Seiten
bei einem ISP gehostet habe ... kann ich das irgendwie überprüfen,
wie das bei meinem ISP eingestellt ist?
Oder kann ich das evtl. selbst über sowas wie die .htaccess-Datei beeinflussen?

3. Weiterhin darf man im produktiven Betrieb keinerlei Fehlermeldungen ausgeben lassen, display_errors muss also auf off stehen

Da stellt sich für mich als PHP-Laeien die gleich Frage wie unter 2.

Kurz um, beachtet man alle 3 Punkte, dann kann es u.U. sicherlich etwas bringen - ich würde das aber glaube ich für etwas zu aufwendig halten.

Naja, wenn man einfach allen PHP-Dateien z.B. die Erweiterung
.asp "verpasst, und diese dann durch .htaccess von PHP parsen lässt,
ist das doch nicht so sehr aufwendig, oder sehe ich das falsch?

Meines Achtens ist es da wesentlich wichtiger ein Auge darauf zu behalten, dass man immer die neueste PHP Version installiert hat und darauf, dass man seine Scripte alle sicher[tm] programmiert.

Ja, das ist natürlich das allerwichtigste.
Es war ja auch nur so als zusätzliche Möglichkeit gedacht.

Gruß
Ingo