Mehrere allgemeine Sicherheitsdetails im Zusammenhang mit PHP

Wir haben PHP manuell installiert. Die Standardkonfigurationsdatei von PHP befindet sich in /usr/local/apache2/conf/php.ini. Unser Wichtigstes ist, den Inhalt in php.ini zu konfigurieren, damit wir PHP sicherer ausführen können . Die Sicherheitseinstellungen im gesamten PHP dienen hauptsächlich dazu, Angriffe durch PHPShell und SQL-Injection zu verhindern. Lassen Sie uns das langsam besprechen. Wir verwenden zunächst ein beliebiges Bearbeitungstool, um /etc/local/apache2/conf/php.ini zu öffnen. Wenn Sie es auf andere Weise installieren, befindet sich die Konfigurationsdatei möglicherweise nicht in diesem Verzeichnis.

(1) Schalten Sie den abgesicherten Modus von PHP ein

Der abgesicherte Modus von PHP ist ein sehr wichtiger integrierter Sicherheitsmechanismus, der einige Funktionen in PHP steuern kann, wie z. B. das System ( ),

steuert auch die Berechtigungen vieler Dateioperationsfunktionen und lässt bestimmte Schlüsseldateien wie /etc/passwd nicht zu,

aber die Standard-php.ini ist Wenn der abgesicherte Modus aktiviert ist nicht eingeschaltet, wir schalten es ein:

safe_mode = on

(2) Benutzergruppensicherheit

Wenn Safe_Mode eingeschaltet ist, wird Safe_Mode_gid ausgeschaltet, dann die PHP Skript Auf die Datei kann zugegriffen werden, und Benutzer in derselben

-Gruppe können auch auf die Datei zugreifen.

Es wird empfohlen, Folgendes festzulegen:

safe_mode_gid = off

Wenn Sie es nicht festlegen, können wir die Dateien im Verzeichnis unserer Server-Website möglicherweise nicht bedienen. Wir müssen die Dateien beim Betrieb

bearbeiten.

(3) Home-Verzeichnis zum Ausführen von Programmen im abgesicherten Modus

Wenn der abgesicherte Modus aktiviert ist, Sie aber bestimmte Programme ausführen möchten, können Sie das auszuführende Programm angeben ausgeführt. Hauptverzeichnis:

safe_mode_exec_dir = D:/usr/bin

Im Allgemeinen besteht keine Notwendigkeit, ein Programm auszuführen, daher wird empfohlen, das Systemprogrammverzeichnis nicht auszuführen und kopieren Sie dann das Programm, das ausgeführt werden soll, zum Beispiel:

Ich empfehle jedoch, kein Programm auszuführen, dann können Sie auf unser Webverzeichnis verweisen:

safe_mode_exec_dir = D:/tmp/cmd

(4)

safe_mode_exec_dir = D:/usr/www

Im abgesicherten Modus enthaltene Datei

Wenn Sie einige öffentliche Dateien im abgesicherten Modus einschließen möchten, ändern Sie die Optionen:

Tatsächlich befinden sich die in PHP-Skripten enthaltenen Dateien im Allgemeinen bereits im Programm selbst. Nach dem Schreiben kann dies entsprechend den spezifischen Anforderungen festgelegt werden.

safe_mode_include_dir = D:/usr/www/include/

(5)

Kontrollieren Sie die Verzeichnisse, auf die PHP-Skripte zugreifen können

Verwenden Sie die Option open_basedir, um zu steuern, dass PHP-Skripte nur auf bestimmte Verzeichnisse zugreifen können, was PHP-Skripte daran hindern kann Zugriff auf

Dateien, auf die nicht zugegriffen werden sollte, begrenzen den Schaden von PHPShell bis zu einem gewissen Grad. Wir können es generell so einstellen, dass nur auf das Website-Verzeichnis zugegriffen wird:

(6)

open_basedir = D:/usr/www

Gefährliche Funktionen schließen

Wenn der abgesicherte Modus aktiviert ist, ist ein Funktionsverbot nicht erforderlich, wir erwägen dies jedoch aus Sicherheitsgründen. Zum Beispiel

haben wir das Gefühl, dass wir keine PHP-Funktionen ausführen möchten, einschließlich system(), die Befehle ausführen können, oder Funktionen wie

phpinfo(), die PHP-Informationen anzeigen können, dann wir kann sie deaktivieren:

Wenn Sie Datei- und Verzeichnisvorgänge deaktivieren möchten, können Sie viele Dateivorgänge deaktivieren

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir ,scandir ,fopen,unlink,delete,copy,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

Das Obige ist nur eine Liste einiger nicht häufig verwendeter Dateiverarbeitungsfunktionen , Sie können auch die obige Ausführungsbefehlsfunktion mit dieser Funktion kombinieren,

kann den meisten PHP-Shells widerstehen.

(7)

Schließen Sie den Verlust von PHP-Versionsinformationen im http-Header

Um zu verhindern, dass Hacker die PHP-Versionsinformationen auf dem Server erhalten, können wir schließen Das Durchsickern dieser Informationen im http-Header Header:

Wenn ein Hacker beispielsweise über Telnet www.chinaz.com 80 telnet, kann er keine PHP-Informationen sehen.

expose_php = Off

(8)

Registrierung globaler Variablen schließen

In PHP übermittelte Variablen, einschließlich mit POST oder GET übermittelter Variablen, werden automatisch als globale Variablen registriert und können direkt sein Zugriff,

ist für den Server sehr unsicher, daher können wir nicht zulassen, dass er als globale Variable registriert wird. Daher deaktivieren wir die Option zur Registrierung globaler Variablen:

Natürlich Wenn es so eingestellt ist, müssen Sie angemessene Methoden verwenden, um die entsprechenden Variablen abzurufen, z. B. das Abrufen der von GET übermittelten Variablen var.

register_globals = Off

Dann müssen Sie $_GET['var'] verwenden, um sie abzurufen Darauf sollten PHP-Programmierer achten.

(9)

Magic_quotes_gpc aktivieren, um SQL-Injection zu verhindern

SQL-Injection ist ein sehr gefährliches Problem, und zwar in das Backend der Website In schwerwiegenderen Fällen fällt der gesamte Server aus.

Seien Sie also vorsichtig. Es gibt eine Einstellung in php.ini:

Diese ist standardmäßig deaktiviert. Wenn sie aktiviert ist, werden vom Benutzer übermittelte SQL-Abfragen automatisch konvertiert.

magic_quotes_gpc = Off

Zum Beispiel: konvertieren Sie ' in 'Warten Sie, dies spielt eine wichtige Rolle bei der Verhinderung der SQL-Injection. Daher empfehlen wir die Einstellung auf:

(10)

magic_quotes_gpc = On

Fehlermeldungskontrolle

Im Allgemeinen gibt PHP einen Fehler aus, wenn es nicht mit der Datenbank verbunden ist oder unter anderen Umständen: Die Fehlermeldung enthält die Pfadinformationen des PHP-Skripts vor

oder der SQL-Anweisung der Abfrage, wenn sie Hackern zur Verfügung gestellt wird dass Server Fehlermeldungen deaktivieren:

Wenn Sie Fehlermeldungen anzeigen möchten, stellen Sie sicher, dass Sie die Ebene der Fehleranzeige festlegen. Zeigen Sie beispielsweise nur Informationen über Warnungen an:

display_errors = Off

Natürlich empfehle ich trotzdem, Fehlermeldungen auszuschalten.

error_reporting = E_WARNING & E_ERROR

(11) Fehlerprotokoll

Es wird empfohlen, die Fehlerinformationen nach dem Ausschalten von display_errors aufzuzeichnen, um das Auffinden des Grundes für den Serverbetrieb zu erleichtern:

log_errors = Ein

Legen Sie außerdem das Verzeichnis fest, in dem das Fehlerprotokoll gespeichert wird. Es wird empfohlen, das Root-Apache-Protokoll zusammen zu speichern:

error_log = D:/usr/local/apache2/logs/php_error .log

Hinweis: Die Datei muss dem Apache-Benutzer und der Apache-Gruppe Schreibberechtigungen ermöglichen.

MYSQL-Berechtigungen herunterladen

Erstellen Sie einen neuen Benutzer wie mysqlstart

net-Benutzer mysqlstart ****microsoft /add

net localgroup-Benutzer mysqlstart / del

gehört keiner Gruppe

Wenn MYSQL in d:mysql installiert ist, dann geben Sie mysqlstart Vollzugriffsberechtigungen

und legen Sie dann die Diensteigenschaften von MYSQL im System fest service , wählen Sie in den Anmeldeeigenschaften diesen Benutzer mysqlstart aus und geben Sie das Passwort ein, OK.

Starten Sie den MYSQL-Dienst neu und dann wird MYSQL mit niedrigen Berechtigungen ausgeführt.

Wenn Apache auf einer Windows-Plattform basiert, müssen wir auf eine Sache achten, die standardmäßig mit Systemberechtigungen ausgeführt wird.

Das ist beängstigend und führt dazu, dass sich die Leute sehr unwohl fühlen gibt Apache Reduzieren Sie die Berechtigungen.

net user apache ****microsoft /add

net localgroup users apache /del

ok Wir haben einen Benutzer apche erstellt, der keiner Gruppe angehört.

Wir öffnen den Computermanager, wählen Dienste aus, klicken auf die Eigenschaften des Apache-Dienstes, wir wählen Anmelden, wählen dieses Konto aus, wir geben das oben erstellte Konto und Passwort ein,

Neustart Der Apache-Dienst, ok, Apache läuft mit niedrigen Berechtigungen.

Tatsächlich können wir auch die Berechtigungen jedes Ordners so festlegen, dass der Apache-Benutzer nur das ausführen kann, was wir von ihm möchten, und für jedes Verzeichnis einen separaten Benutzer mit Lese-/Schreibzugriff erstellen.

Dies ist auch eine beliebte Konfigurationsmethode, die von vielen virtuellen Hostanbietern verwendet wird. Diese Methode ist jedoch übertrieben, wenn sie verwendet wird, um dies zu verhindern.