Maison > Article > développement back-end > Quels sont les paramètres de sécurité de PHP ?
Les paramètres de sécurité PHP incluent : 1. Protéger la sortie d'erreur PHP ; 2. Protéger la version PHP ; 3. Fermer les variables globales ; 5. Interdire l'accès aux ressources à distance ; 6. Installer les extensions, etc. .
Recommandé : "Tutoriel PHP"
J'ai récemment parlé de problèmes liés à la sécurité PHP avec mes collègues et j'ai enregistré eux. Quelques idées.
En raison de nombreuses raisons liées au langage de script et à la conception des premières versions, les projets PHP présentent de nombreux risques de sécurité. À partir des options de configuration, les optimisations suivantes peuvent être effectuées.
1. Sortie d'erreur PHP Shield.
Dans /etc/php.ini (emplacement du fichier de configuration par défaut), modifiez la valeur de configuration suivante sur Off
display_errors=Off
Ne pas afficher les informations de la pile d'erreurs directement dans le page Web, pour empêcher les pirates d'utiliser des informations pertinentes.
L'approche correcte est la suivante :
Écrivez le journal des erreurs dans le fichier journal pour faciliter le dépannage.
2. Bloquez la version PHP.
Par défaut, la version PHP sera affichée dans l'entête de retour, comme par exemple : Response Headers X-powered-by: PHP/7.2.0
En php. ini Modifiez la valeur de configuration suivante en Off
expose_php=Off
3. Fermez les variables globales.
Si les variables globales sont activées, certaines données soumises par le formulaire seront automatiquement enregistrées en tant que variables globales. Le code est le suivant :
8c3bc885220860b6d9c8ecee39e3f1e4 65c66f718e7553c00f08c9ee5fc59a5f c5956f77ce1de04ac80d4a62707969bf 5929f3845b6ed91b818cfdf1b6f901fd f5a47148e367a6035fd7a2faa965022e
Si les variables globales sont activées, le script PHP côté serveur peut utiliser $username et $password pour obtenir le nom d'utilisateur et le mot de passe, ce qui entraînera un grand danger d'injection de script.
La méthode pour l'activer est de le modifier dans php.ini comme suit :
register_globals=On
Il est recommandé de le fermer, les paramètres sont les suivants :
register_globals=Off
Quand fermé, vous ne pouvez accéder qu'à $_POST et $_GET, obtenez les paramètres pertinents dans $_REQUEST.
4. Restrictions du système de fichiers
Vous pouvez utiliser open_basedir pour limiter les répertoires système auxquels PHP peut accéder.
Si vous utilisez le code de script suivant (hack.php) sans restrictions, vous pouvez obtenir le mot de passe du système.
<?php echo file_get_contents('/etc/passwd');
Une fois défini, une erreur sera signalée et les informations pertinentes ne seront plus affichées, afin que le répertoire système b ne soit pas accédé illégalement :
PHP Warning: file_get_contents(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www) in /var/www/hack.php on line 3
Warning: file_get_contents(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www) in /var/www/hack.php on line 3 PHP Warning: file_get_contents(/etc/passwd): failed to open stream: Operation not permitted in /var/www/hack.php on line 3
Warning: file_get_contents(/etc/passwd): failed to open stream: Operation not permitted in /var/www/hack.php on line 3
La méthode de réglage est la suivante :
open_basedir=/var/www
5 .Interdire l'accès aux ressources à distance.
allow_url_fopen=Off allow_url_include=Off
Autres extensions de sécurité tierces6.Suhosin。
Suhosin est un PHP système de protection du programme. Il a été conçu à l'origine pour protéger les serveurs et les utilisateurs contre les failles connues ou inconnues des programmes PHP et du noyau PHP (il semble assez pratique et peut résister à certaines attaques mineures). Suhosin comporte deux parties indépendantes, qui peuvent être utilisées séparément ou combinées.
La première partie est un patch pour le noyau PHP, qui peut résister aux débordements de tampon ou aux faiblesses des chaînes de formatage (c'est un must !
La deuxième partie est une puissante extension PHP (l'extension) ; le mode est très bon, facile à installer...), y compris toutes les autres mesures de protection.
wget http://download.suhosin.org/suhosin-0.9.37.1.tar.gztar zxvf suhosin-0.9.37.1.tar.gz cd suhosin-0.9.37.1/phpize./configure --with-php-config=/usr/local/bin/php-config make make install 在php.ini下加入suhosin.so即可 extension=suhosin.so
Fonctionnalités
Protection d'exécution
Session 保护
SESSION里的数据通常在服务器上的明文存放的。这里通过在服务端来加解密$_SESSION
。这样将Session的句柄存放在Memcache或数据库时,就不会被轻易攻破,很多时候我们的session数据会存放一些敏感字段。
这个特性在缺省情况下是启用的,也可以通过php.ini来修改:
suhosin.session.encrypt = On suhosin.session.cryptkey = zuHywawAthLavJohyRilvyecyondOdjo suhosin.session.cryptua = On suhosin.session.cryptdocroot = On ;; IPv4 only suhosin.session.cryptraddr = 0suhosin.session.checkraddr = 0
Cookie加密
Cookie在客户端浏览器的传输的HTTP头也是明文的。通过加密cookie,您可以保护您的应用程序对众多的攻击,如
Cookie加密在php.ini中的配置:
suhosin.cookie.encrypt = On ;; the cryptkey should be generated, e.g. with 'apg -m 32'suhosin.cookie.cryptkey = oykBicmyitApmireipsacsumhylWaps1 suhosin.cookie.cryptua = On suhosin.cookie.cryptdocroot = On ;; whitelist/blacklist (use only one) ;suhosin.cookie.cryptlist = WALLET,IDEAS suhosin.cookie.plainlist = LANGUAGE ;; IPv4 only suhosin.cookie.cryptraddr = 0suhosin.cookie.checkraddr = 0Blocking Functions 测试##默认PHP的Session保存在tmp路径下ll -rt /tmp | grep sess##扩展未开启时查看某条sesson的数据cat sess_ururh83qvkkhv0n51lg17r4aj6//记录是明文的##扩展开启后查看某条sesson 的数据cat sess_ukkiiiheedupem8k4hheo0b0v4//记录是密文的可见加密对安全的重要性
阻断功能
白名单
##显式指定指定白名单列表 suhosin.executor.func.whitelist = htmlentities,htmlspecialchars,base64_encode suhosin.executor.eval.whitelist = htmlentities,htmlspecialchars,base64_encode <?php echo htmlentities('<test>'); eval('echo htmlentities("<test>");');
黑名单
##显式指定指定黑名单列表 suhosin.executor.func.blacklist = assert,unserialize,exec,popen,proc_open,passthru,shell_exec,system,hail,parse_str,mt_srand suhosin.executor.eval.whitelist = assert,unserialize,exec,popen,proc_open,passthru,shell_exec,system,hail,parse_str,mt_srand 通过日志来查看非法调用黑白名单 suhosin.simulation = 1 suhosin.log.file = 511 suhosin.log.file.name = /tmp/suhosin-alert.log
其他配置项
suhosin.executor.include.max_traversal 扩目录的最大深度,可以屏蔽切换到非法路径 suhosin.executor.include.whitelist 允许包含的URL,用逗号分隔 suhosin.executor.include.blacklist 禁止包含的URL,用逗号分隔 suhosin.executor.disable_eval = On 禁用eval函数 suhosin.upload.max_uploads suhosin.upload.disallow_elf suhosin.upload.disallow_binary suhosin.upload.remove_binary suhosin.upload.verification_script 上传文件检查脚本,可以来检测上传的内容是否包含webshell特征
使用Suhosin,你可以得到一些错误日志,你能把这些日志放到系统日志中,也可以同时写到其他任意的日志文件中去;
它还可以为每一个虚拟主机创建黑名单和白名单;
可以过滤GET和POST请求、文件上载和cookie;
你还能传送加密的会话和cookie,可以设置不能传送的存储上线等等;
它不像原始的PHP强化补丁,Suhosin是可以被像Zend Optimizer这样的第三方扩展软件所兼容的。
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!