Einige Sicherheitseinstellungen für PHP (Optimierung)

Aufgrund vieler Gründe der Skriptsprache und des frühen Versionsdesigns weisen PHP-Projekte viele Sicherheitsrisiken auf. Aus den Konfigurationsmöglichkeiten können folgende Optimierungen vorgenommen werden.

1. PHP-Fehlerausgabe von Shield.

Ändern Sie in /etc/php.ini (Standardspeicherort der Konfigurationsdatei) den folgenden Konfigurationswert auf Aus

display_errors=Off

Ändern Sie den Fehler nicht Stapelinformationen werden direkt auf der Webseite ausgegeben, um zu verhindern, dass Hacker relevante Informationen verwenden.

Der richtige Ansatz ist:

Schreiben Sie das Fehlerprotokoll in die Protokolldatei, um die Fehlerbehebung zu erleichtern.

2. Blockieren Sie die PHP-Version.

Standardmäßig wird die PHP-Version im Rückgabeheader angezeigt, z. B.:

Response Headers X-powered-by: PHP/7.2.0

Ändern Sie den folgenden Konfigurationswert in php.ini auf Aus

expose_php=Off

3. Globale Variablen schließen.

Wenn globale Variablen aktiviert sind, werden einige über das Formular übermittelte Daten automatisch als globale Variablen registriert. Der Code lautet wie folgt:

<form action="/login" method="post">
<input name="username" type="text">
<input name="password" type="password">
<input type="submit" value="submit" name="submit">
</form>

Wenn globale Variablen aktiviert sind, kann das serverseitige PHP-Skript $username und $password verwenden, um den Benutzernamen und das Passwort abzurufen, was eine große Gefahr der Skriptinjektion mit sich bringt.

Die Methode zum Einschalten besteht darin, es in php.ini wie folgt zu ändern:

register_globals=On

Es wird empfohlen, es einzuschalten aus. Die Parameter lauten wie folgt:

register_globals=Off

Im geschlossenen Zustand können relevante Parameter nur von $_POST, $_GET, $_REQUEST abgerufen werden.

4. Dateisystembeschränkungen

Sie können open_basedir verwenden, um die Systemverzeichnisse einzuschränken, auf die PHP zugreifen kann.

Wenn Sie den folgenden Skriptcode (hack.php) ohne Einschränkungen verwenden, können Sie das Systempasswort erhalten.

<?php
echo file_get_contents(&#39;/etc/passwd&#39;);

Wenn festgelegt, wird ein Fehler gemeldet und relevante Informationen werden nicht mehr angezeigt, sodass kein illegaler Zugriff auf das Systemverzeichnis b erfolgt:

PHP Warning: file_get_contents(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www) in /var/www/hack.php on line 3
Warning: file_get_contents(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www) in /var/www/hack.php on line 3 PHP Warning: file_get_contents(/etc/passwd): failed to open stream: Operation not permitted in /var/www/hack.php on line 3
Warning: file_get_contents(/etc/passwd): failed to open stream: Operation not permitted in /var/www/hack.php on line 3

Die Einstellung Die Methode lautet wie folgt:

open_basedir=/var/www

5. Der Remote-Ressourcenzugriff ist verboten.

allow_url_fopen=Off
allow_url_include=Off

Andere Sicherheitserweiterungen von Drittanbietern

6.Suhosin.

Suhosin ist ein PHP-Programmschutzsystem. Es wurde ursprünglich entwickelt, um Server und Benutzer vor bekannten oder unbekannten Fehlern in PHP-Programmen und dem PHP-Kern zu schützen (es fühlt sich recht praktisch an und kann einigen kleineren Angriffen widerstehen). Suhosin besteht aus zwei unabhängigen Teilen, die einzeln oder kombiniert verwendet werden können.

Der erste Teil ist ein Patch für den PHP-Kern, der Pufferüberlauf oder Formatstring-Schwächen widerstehen kann (dies ist ein Muss!);

Der zweite Teil ist eine leistungsstarke PHP-Erweiterung (die Erweiterung Modus ist sehr gut, einfach zu installieren...), inklusive aller anderen Schutzmaßnahmen.

Erweiterung installieren

wget http://download.suhosin.org/suhosin-0.9.37.1.tar.gz
tar zxvf suhosin-0.9.37.1.tar.gz
cd suhosin-0.9.37.1/
phpize
./configure  --with-php-config=/usr/local/bin/php-config
make
make install
在php.ini下加入suhosin.so即可
extension=suhosin.so

Funktionen

● Emulatorgeschützter Modus

● Fügen Sie zwei Funktionen sha256() und sha256_file( ) hinzu den PHP-Kern

● Alle Plattformen, fügen Sie CRYPT_BLOWFISH zur Funktion crypt() hinzu

● Transparenten Schutz für die phpinfo()-Seite aktivieren

● SQL-Datenbank-Benutzerschutz ( Testphase)

Laufzeitschutz

● Verschlüsselte Cookies

● Verhindert verschiedene Arten von Einschlussschwachstellen (Remote-URL-Einbindung ist nicht zulässig (Hack/Whitelist). ); erlaubt nicht das Einschließen hochgeladener Dateien; verhindert Directory-Traversal-Angriffe)

● Ermöglicht das Verbot der Funktion „preg_replace()“

● Pass Konfigurieren Sie eine maximale Ausführungstiefe, um eine unendliche Rekursion zu verhindern

● Unterstützen Sie jeden Vhost bei der Konfiguration von Black- und White-Listen

● Stellen Sie separate Funktions-Black- und White-Listen für die Codeausführung bereit

● Verhindern Sie HTTP-Antworten, die eine Schwachstelle aufteilen

● Verhindern Sie, dass Skripte die Option „memory_limit“ steuern

● Schützen Sie PHP-Superglobals, wie z. B. Funktionen extract(), import_request_vars()

● Verhindern Sie neue Änderungen zur Funktion mail() Zeilenangriff

● Preg_replace()-Angriff verhindern

Sitzungsschutz

● Sitzungsdaten verschlüsseln

● Verhindern Sie, dass Sitzungen gekapert werden

● Verhindern Sie eine zu lange Sitzungs-ID

● Verhindern Sie böswillige Sitzungs-IDs

Die Daten in SESSION werden normalerweise im Klartext auf dem Server gespeichert. Dabei wird $_SESSION serverseitig verschlüsselt und entschlüsselt. Wenn das Sitzungshandle im Memcache oder in der Datenbank gespeichert wird, kann es auf diese Weise nicht so leicht beschädigt werden. Oftmals werden in unseren Sitzungsdaten einige vertrauliche Felder gespeichert.

Diese Funktion ist standardmäßig aktiviert und kann auch über php.ini geändert werden:

suhosin.session.encrypt = On
suhosin.session.cryptkey = zuHywawAthLavJohyRilvyecyondOdjo
suhosin.session.cryptua = On
suhosin.session.cryptdocroot = On
;; IPv4 only
suhosin.session.cryptraddr = 0
suhosin.session.checkraddr = 0

Cookie-Verschlüsselung

Die Der vom Cookie im Client-Browser übermittelte HTTP-Header ist ebenfalls im Klartext. Durch die Verschlüsselung von Cookies schützen Sie Ihre Anwendung vor zahlreichen Angriffen, wie z. B. Cookie-Manipulation: Ein Angreifer versucht möglicherweise, andere sinnvolle Cookie-Werte zu erraten, um Ihre Anwendung anzugreifen.

Anwendungsübergreifende Verwendung von Cookies: Falsch konfigurierte Anwendungen verfügen möglicherweise über denselben Sitzungsspeicher. Beispielsweise werden alle Sitzungen standardmäßig im Verzeichnis /tmp gespeichert. solange die Verschlüsselungsschlüssel unterschiedlich sind.

Cookie-Verschlüsselungskonfiguration in php.ini:

suhosin.cookie.encrypt = On
;; the cryptkey should be generated, e.g. with 'apg -m 32'
suhosin.cookie.cryptkey = oykBicmyitApmireipsacsumhylWaps1
suhosin.cookie.cryptua = On
suhosin.cookie.cryptdocroot = On
;; whitelist/blacklist (use only one)
;suhosin.cookie.cryptlist = WALLET,IDEAS
suhosin.cookie.plainlist = LANGUAGE
;; IPv4 only
suhosin.cookie.cryptraddr = 0
suhosin.cookie.checkraddr = 0
Blocking Functions
测试
##默认PHP的Session保存在tmp路径下
ll  -rt /tmp | grep sess
##扩展未开启时查看某条sesson的数据
cat  sess_ururh83qvkkhv0n51lg17r4aj6
//记录是明文的
##扩展开启后查看某条sesson 的数据
cat  sess_ukkiiiheedupem8k4hheo0b0v4
//记录是密文的
可见加密对安全的重要性

Blockierungsfunktion

Whitelist

##显式指定指定白名单列表
suhosin.executor.func.whitelist = htmlentities,htmlspecialchars,base64_encode
suhosin.executor.eval.whitelist = htmlentities,htmlspecialchars,base64_encode
<?php
echo htmlentities(&#39;<test>&#39;);
eval(&#39;echo htmlentities("<test>");&#39;);

Blacklist

##显式指定指定黑名单列表
suhosin.executor.func.blacklist = assert,unserialize,exec,popen,proc_open,passthru,shell_exec,system,hail,parse_str,mt_srand
suhosin.executor.eval.whitelist = assert,unserialize,exec,popen,proc_open,passthru,shell_exec,system,hail,parse_str,mt_srand
通过日志来查看非法调用黑白名单
suhosin.simulation = 1
suhosin.log.file = 511
suhosin.log.file.name = /tmp/suhosin-alert.log

Andere Konfigurationselemente

suhosin.executor.include.max_traversal    扩目录的最大深度，可以屏蔽切换到非法路径
suhosin.executor.include.whitelist        允许包含的URL，用逗号分隔
suhosin.executor.include.blacklist        禁止包含的URL，用逗号分隔
suhosin.executor.disable_eval = On        禁用eval函数
suhosin.upload.max_uploads
suhosin.upload.disallow_elf
suhosin.upload.disallow_binary
suhosin.upload.remove_binary
suhosin.upload.verification_script        上传文件检查脚本，可以来检测上传的内容是否包含webshell特征

使用Suhosin，你可以得到一些错误日志，你能把这些日志放到系统日志中，也可以同时写到其他任意的日志文件中去;

它还可以为每一个虚拟主机创建黑名单和白名单;

可以过滤GET和POST请求、文件上载和cookie;

你还能传送加密的会话和cookie，可以设置不能传送的存储上线等等;

它不像原始的PHP强化补丁，Suhosin是可以被像Zend Optimizer这样的第三方扩展软件所兼容的。

更多相关php知识，请访问php教程！

Das obige ist der detaillierte Inhalt vonEinige Sicherheitseinstellungen für PHP (Optimierung). Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!