Comment renforcer la sécurité des sites Web en langage PHP

Utilisez Suhosin pour renforcer la sécurité du langage de script PHP

PHP est un langage de script de site Web très populaire, mais sa sécurité inhérente est très faible. Plan d'amélioration PHP (projet Hardened-PHP) et le nouveau plan Suhosi, Suhosin fournit une configuration de sécurité PHP améliorée.

PHP est un langage de script de site Web controversé mais le plus populaire. Il est populaire en raison de son prix bas. Cependant, ce faible prix a conduit à de plus en plus d'applications de sites Web écrites en PHP, et en même temps, de plus en plus de PHP lui-même est exposé en termes de vulnérabilités de sécurité. les fonctionnalités montrent que PHP est extrêmement peu fiable. (Apprentissage recommandé : Tutoriel vidéo PHP)

Mais en même temps, ce langage de script lui-même est très flexible, et il peut être facilement implémenté en l'utilisant, mais le code est gonflé et peu sûr, mais il compte encore de nombreux utilisateurs.

Vous pouvez supposer qu'en fonction de la situation réelle, à maintes reprises, divers logiciels d'application incarnent cette vulnérabilité : vulnérables à l'injection SQL, aux scripts intersites, à l'exécution arbitraire d'instructions, etc.

Étant donné que les mesures de sécurité PHP intégrées telles que safe_mode et open_basedir seront ignorées, le plan d'amélioration PHP crée un PHP plus sécurisé et effectue également des contrôles de validation sur PHP.

À l'origine, celles-ci étaient réalisées avec des correctifs PHP améliorés qui nécessitaient d'appliquer des correctifs et de recompiler PHP lui-même. Récemment, le PHP Enhancement Project a publié un nouveau projet appelé Suhosin.

Suhosin est un système de protection de programme PHP. Il est conçu pour protéger les serveurs et les utilisateurs contre les failles connues et inconnues des programmes PHP et du noyau PHP.

Sohosin se compose de deux parties : La première partie est un patch PHP. Ce patch renforce le moteur Zend lui-même pour éviter d'éventuels débordements de tampon et prévenir les faiblesses associées. La deuxième partie est l'extension de Suhosin, qui est un module autonome pour PHP. Les deux parties peuvent fonctionner ensemble ou l’extension peut fonctionner indépendamment.

Les développeurs ne veulent pas avoir à maintenir leurs propres paramètres d'installation PHP pour des raisons de sécurité et ils préfèrent certainement utiliser PHP directement sur la distribution Linux fournie par le fournisseur, en utilisant des modules d'extension pour fournir plus. de nombreuses fonctionnalités de sécurité que PHP lui-même ne peut pas avoir.

Le module d'extension est facile à installer ; il peut également être installé via PECL, ou compilé et installé après téléchargement :

    $ tar xvzf suhosin-0.9.17
　　$ cd suhosin-0.9.17
　　$ phpize
　　$ ./configure
　　$ make
　　$ sudo make install

Pour utiliser suhosin, vous devez également vous devez ajouter /etc/ php.ini, comme indiqué ci-dessous :

extension=suhosin.so

Les options de configuration par défaut sont suffisantes pour la plupart des gens. Afin de renforcer les paramètres, vous pouvez ajouter les valeurs correspondantes​​dans /etc/php.ini. Les différentes options de configuration sont présentées en détail sur le site Web. Ces instructions peuvent vous aider lors de la configuration initiale.

En utilisant Suhosin, vous pouvez obtenir des journaux d'erreurs. Vous pouvez mettre ces journaux dans le journal système, ou les écrire dans n'importe quel autre fichier journal en même temps ; il peut également créer des listes noires pour chaque hôte virtuel. et listes blanches ; peut filtrer les requêtes GET et POST, les téléchargements de fichiers et les cookies. Vous pouvez également envoyer des sessions et des cookies cryptés, configurer un stockage qui ne peut pas être envoyé, et bien plus encore.

Contrairement au patch de renforcement PHP d'origine, Suhosin est compatible avec les logiciels d'extension tiers comme Zend Optimizer.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!