Verbessern Sie die PHP-Sicherheit: 8 PHP-Standardkonfigurationen, die geändert werden müssen_Javascript-Kenntnisse

Offensichtlich ist PHP Mysql Apache eine sehr beliebte Webtechnologie. Diese Kombination ist leistungsstark, skalierbar und kostenlos. Allerdings sind die Standardeinstellungen von PHP nicht so gut für bereits online verfügbare Websites geeignet. Lassen Sie uns die Sicherheitsrichtlinien von PHP stärken, indem wir die Standardkonfigurationsdatei ändern!

0x01: Remote-URL-Dateiverarbeitungsfunktion deaktivieren

Die Dateiverarbeitungsfunktion wie fopen akzeptiert den rul-Parameter der Datei (zum Beispiel: fopen('http://www.yoursite.com','r')). Diese Funktion kann problemlos auf Remote-Ressourcen zugreifen. Dies stellt jedoch eine sehr wichtige Sicherheitsbedrohung dar. Es empfiehlt sich, diese Funktion zu deaktivieren, um die Dateifunktion einzuschränken. Nehmen Sie die folgenden Änderungen in der Datei php.ini vor:

Code kopieren Der Code lautet wie folgt:

Allow_url_fopen = Aus

0x02: Registrierung globaler Variablen deaktivieren

In Versionen vor 4.2.0 verwendet PHP globale Variablen als Eingabe. Sie verursacht viele Sicherheitsprobleme in Webanwendungen, da sie es Angreifern ermöglicht, globale Variablen leicht zu manipulieren ist in 4.2.0 standardmäßig deaktiviert. Es ist sehr gefährlich und muss unter allen Umständen deaktiviert werden. Wenn einige Skripte diese Funktionalität erfordern, stellt das Skript ein potenzielles Sicherheitsrisiko dar. Ändern Sie pnp.ini, um diese Funktion zu deaktivieren:

Code kopieren Der Code lautet wie folgt:

register_globals = Aus

0x03: Beschränken Sie PHP-Lese- und Schreibvorgänge

In vielen Webentwicklungsprozessen müssen PHP-Skripte das lokale Dateisystem lesen und schreiben, z. B. /var/www/htdocs/files. Um die Sicherheit zu erhöhen, können Sie die Lese- und Schreibberechtigungen lokaler Dateien ändern :

Code kopieren Der Code lautet wie folgt:

open_basedir = /var/www/htdocs/files

0x04: Posing Limit

Die Begrenzung der PHP-Ausführungszeit, der Speichernutzung sowie der Post- und Upload-Daten ist die beste Strategie. Sie können es wie folgt konfigurieren:

Code kopieren Der Code lautet wie folgt:

max_execution_time = 30 ; Maximale Skriptausführungszeit
max_input_time = 60 ; Maximale Zeit, die für das Parsen der Eingabe aufgewendet wurde
memory_limit = 16M ; Max. Speicher, der von einem Skript verwendet wird
upload_max_filesize = 2M ; Maximale Upload-Dateigröße
post_max_size = 8M ; Maximale Beitragsgröße

0x05: Fehlermeldungen deaktivieren und Protokollierung aktivieren

In der Standardeinstellung gibt PHP während des Entwicklungsprozesses der Anwendung eine Fehlermeldung aus. Diese Standardeinstellung ist jedoch die sinnvollste Konfiguration. Allerdings können dadurch auch einige Sicherheitsinformationen an den Benutzer weitergegeben werden den Installationspfad und den Benutzernamen. Bei bereits entwickelten Websites ist es am besten, Fehlermeldungen zu deaktivieren und Fehlermeldungen in einer Protokolldatei auszugeben.

Code kopieren Der Code lautet wie folgt:

display_errors = Aus
log_errors = Ein

0x06: PHP-Datei ausblenden

Wenn keine versteckte PHP-Datei vorhanden ist, können wir die Server-PHP-Version über verschiedene Methoden erhalten, z. B. mit: http://www.example.com/script.php?=PHPB8B5F2A0-3C92-11d3- A3A9- 4C7B08C10000

Natürlich möchten wir nicht, dass Benutzer direkt auf die PHP-Version Ihres Website-Servers zugreifen können. Glücklicherweise gibt es in php.ini einen Schalter, um diese Funktion zu deaktivieren:

Code kopieren Der Code lautet wie folgt:

Exposé_php = Aus

0x07: Konfiguration des abgesicherten Modus

Standardmäßig kann PHP im abgesicherten Modus konfiguriert werden. In diesem Modus verbietet Apache den Zugriff auf Dateien, Umgebungsvariablen und Binärprogramme. Das größte Problem besteht darin, dass nur der Eigentümer der Datei darauf zugreifen kann Wenn es sich um eine PHP-Datei handelt, ist diese Einstellung unpraktisch. Wenn Sie auf eine PHP-Datei zugreifen müssen, müssen Sie den Eigentümer der Datei ändern . PHP-Datei, die folgende Konfiguration kann die Berechtigungen der Datei für die Benutzergruppe statt für einen einzelnen Benutzer ändern.

Code kopieren Der Code lautet wie folgt:

safe_mode = Aus
safe_mode_gid = Ein

Durch die Aktivierung von „safe_mode_gid“ kann diese Gruppe, die Apache verwendet, auf PHP-Dateien zugreifen. Der abgesicherte Modus ist auch sehr effektiv, um die Ausführung von Binärdateien zu verhindern. Allerdings möchten Entwickler unter bestimmten Umständen möglicherweise die Ausführung einiger Binärdateien ermöglichen. In diesen Sonderfällen können die Binärdateien in einem Verzeichnis wie (/var/www/binaries) abgelegt und folgende Einstellungen vorgenommen werden:

Code kopieren Der Code lautet wie folgt:

safe_mode_exec_dir = /var/www/binaries

Abschließend können Sie über die folgenden Einstellungen auf die Umgebungsvariablen des Servers zugreifen. Geben Sie ein durch „_“ getrenntes Präfix an, sodass nur auf Umgebungsvariablen mit dem angegebenen Präfix zugegriffen werden kann:

Code kopieren Der Code lautet wie folgt:

safe_mode_allowed_env_vars = PHP_

0x08: Beschränken Sie den öffentlichen Benutzerzugriff auf Dateien mit bestimmten Suffixen

Aus Sicherheitsgründen können öffentliche Benutzer nicht auf viele Dateien mit bestimmten Suffixnamen zugreifen, z. B. Dateien mit dem Suffix .inc, die einige vertrauliche Informationen enthalten, z. B. MySQL-Verbindungsinformationen Jeder Benutzer kann auf diese Konfigurationsdatei zugreifen. Um die Sicherheit der Website zu erhöhen, müssen Sie Folgendes in der ..htaccess-Datei konfigurieren:

Code kopieren Der Code lautet wie folgt:

Befehl erlauben, verweigern
Von allen leugnen

0x09: Zusammenfassung

Die Standardkonfiguration von PHP ist für Entwickler. Wenn die Website für eine große Anzahl von Benutzern bestimmt ist, wird empfohlen, PHP neu zu konfigurieren.