首頁 > web前端 > js教程 > 提升PHP安全:8個必須修改的PHP預設配置_javascript技巧

提升PHP安全:8個必須修改的PHP預設配置_javascript技巧

WBOY
發布: 2016-05-16 16:31:16
原創
1800 人瀏覽過

很明顯,PHP Mysql Apache是​​很流行的web技術,這個組合功能強大,可擴充性強,還是免費的。然而,PHP的預設設定對已經上線的網站不是那麼適合。以下透過修改預設的設定檔加強PHP的安全性策略!

0x01:停用遠端url檔案處理功能

像fopen的檔案處理函數,接受檔案的rul參數(例如:fopen('http://www.yoursite.com','r')).),這個功能可以很輕鬆的存取遠端資源,然而,這是一個很重要的安全威脅,禁用這個功能來限製file function是個不錯的選擇,在php.ini檔案中做以下修改:

複製程式碼 程式碼如下:

allow_url_fopen = Off

0x02:停用註冊全域變數

php在4.2.0以前的版本中,用全局變量作為輸入,這個功能叫做register_globals,在web應用中它引起了很多安全問題,因為它允許攻擊者在一些情況下很容易的操作全局變量,幸運的是在4.2.0這個功能預設被停用,它非常的危險,無論在什麼情況下都要禁用這個功能。如果某些腳本需要這個功能,那麼這個腳本就存在潛在的安全威脅。修改pnp.ini來停用這個功能:

複製程式碼 程式碼如下:

register_globals = Off

0x03:限制php的讀寫操作

在許多web開發的過程中,php腳本需要對本機檔案系統進行讀寫操作,例如/var/www/htdocs/files,為了加強安全,你可以修改本機檔案的讀寫權限:

複製程式碼 程式碼如下:

open_basedir = /var/www/htdocs/files

0x04:Posing Limit

限制PHP的執行時間、記憶體使用量、post和upload的資料是最好的策略,可以做以下的設定:

複製程式碼 程式碼如下:

max_execution_time = 30  ; Max script execution time
max_input_time = 60      ; Max time spent parsing input
memory_limit = 16M       ; Max memory used by one script
upload_max_filesize = 2M ; Max upload file size
post_max_size = 8M       ; Max post size

0x05:停用錯誤訊息和啟用日誌功能

在預設設定中,php會向瀏覽器輸出錯誤訊息,在應用程式的開發過程中,這個預設設定是最合理的配置,然而,它也可以向使用者洩漏一些安全訊息,例如安裝路徑和使用者名稱.在已經開發完成的網站中,最好停用錯誤訊息然後把錯誤訊息輸出到日誌檔案中。

複製程式碼 程式碼如下:

display_errors = Off
log_errors = On

0x06:隱藏PHP檔案

 如果沒有隱藏PHP文件,我們可以透過多種方法取得伺服器PHP的版本,例如使用:http://www.example.com/script.php?=PHPB8B5F2A0-3C92-11d3-A3A9- 4C7B08C10000

顯然,我們不希望使用者可以直接取得你網站伺服器的PHP版本,幸運的是,在php.ini有個開關可以停用這個功能:

複製程式碼 程式碼如下:

expose_php = Off

0x07:安全模式配置

在預設的情況下,php可以配置為安全模式,在這種模式下,Apache禁止存取檔案、環境變數和二進位程序,在安全模式下,存在的最大問題就是只有檔案的擁有者才能存取這寫PHP文件,如果有很多開發者共同開發這個程序,這樣的設定就不切實際,當你需要訪問一個PHP文件時就需要修改這個文件的所有者,另外一個問題就是其它程序也不能訪問這些PHP文件,下面的配置就可以修改文件的權限為使用者群組而不是單一使用者。

複製程式碼 程式碼如下:

safe_mode = Off
safe_mode_gid = On

透過啟用safe_mode_gid,能夠使用Apache的這個群組就能夠存取PHP檔案。安全模式對阻止二進位檔案的執行也非常有效,然而,開發者卻希望在某些特定情況下能夠運行一些二進位檔案。在這些特殊的情況下,可以將二進位檔案放進一個目錄中,例如(/var/www/binaries),可以做以下設定:

複製程式碼 程式碼如下:

safe_mode_exec_dir = /var/www/binaries

最後,透過下面的設置,可以存取伺服器的環境變量,提供一個以」_「分割的前綴,這樣只能存取具有規定前綴的環境變數:

複製程式碼 程式碼如下:

safe_mode_allowed_env_vars = PHP_

0x08:限制公用使用者對具有特定後綴名的檔案的存取

由於安全的原因,許多具有特定後綴名的文件不能被公共用戶所訪問,比如.inc後綴的文件,裡麵包含了一些敏感的信息,比如mysql連接信息,如果沒有適當的配置,那麼每個使用者都能存取這個設定文件,為了加強網站的安全,你需要在. .htaccess檔案進行如下的設定:

複製程式碼 程式碼如下:


  Order allow,deny
  Deny from all

0x09:總結

PHP的預設配置是面向開發者的,如果網站面向廣大的用戶,建議重新配置PHP。

相關標籤:
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板