Configurez en toute sécurité les paramètres clés de votre fichier PHP.ini

Configurez en toute sécurité les paramètres clés du fichier PHP.ini

PHP est un langage de script côté serveur largement utilisé qui est souvent utilisé pour développer des sites Web et des applications Web. Cependant, en raison de sa flexibilité et de son ouverture, PHP est facilement vulnérable aux attaques et aux abus. Afin de garantir la sécurité du système, nous devons configurer PHP de manière appropriée pour la sécurité.

PHP.ini est le fichier de configuration PHP, qui contient divers paramètres et paramètres de PHP. En modifiant le fichier PHP.ini, nous pouvons ajuster et optimiser la sécurité de PHP. Voici plusieurs paramètres clés de PHP.ini pour vous aider à améliorer la sécurité PHP.

1. Désactiver l'affichage des erreurs

Dans un environnement de production, l'affichage de messages d'erreur peut divulguer des informations sensibles et des détails du système, tout en laissant potentiellement votre site vulnérable aux attaques. Par conséquent, il est recommandé de définir error_reporting dans PHP.ini sur la valeur suivante :

error_reporting = E_ALL & ~E_NOTICE & ~E_DEPRECATED & ~E_STRICT

Ce paramètre affichera uniquement les erreurs et ignorera les erreurs de niveaux d'attention et d'avertissement. Cela réduit la surface d’attaque disponible pour les pirates.

2. Désactivez Magic Quotes

Magic Quotes est une fonctionnalité qui ajoute automatiquement des barres obliques inverses aux guillemets et aux barres obliques lors de la saisie de données. Cependant, cette fonctionnalité est obsolète depuis PHP 5.4 et peut entraîner des failles de sécurité. Par conséquent, il est recommandé de définir magic_quotes_gpc dans PHP.ini sur Off :

magic_quotes_gpc = Off

3. Désactiver les fonctions dangereuses

PHP fournit des fonctions intégrées puissantes mais dangereuses, telles que eval() et system(), etc. Ces fonctions donneraient à un attaquant la possibilité d'exécuter du code malveillant. Pour renforcer la sécurité, il est recommandé de définir Disable_functions dans PHP.ini sur la ligne suivante :

disable_functions = eval, system, exec, shell_exec, passthru

En désactivant ces fonctions, vous pouvez empêcher des utilisateurs malveillants d'en abuser pour effectuer des opérations dangereuses.

4. Définir les limites de téléchargement de fichiers

Le téléchargement de fichiers est une fonctionnalité courante dans de nombreuses applications Web, mais il constitue également un risque de sécurité potentiel. Afin d'empêcher les utilisateurs de télécharger des fichiers malveillants ou des fichiers surdimensionnés, les restrictions suivantes peuvent être définies dans PHP.ini :

file_uploads = On
upload_max_filesize = 2M
max_file_uploads = 5

Les paramètres ci-dessus autoriseront le téléchargement de fichiers, mais limiteront la taille du fichier à 2 Mo, et un maximum de 5 fichiers pourront être téléchargé.

5. Activer la transmission sécurisée

La transmission HTTP est une transmission en texte clair et est vulnérable aux menaces d'écoute clandestine et de falsification. Afin d'améliorer la sécurité de la transmission des données, nous pouvons activer Secure Sockets Layer (SSL) pour crypter la transmission des données. Dans PHP.ini, nous pouvons activer SSL via les paramètres suivants :

;extension=php_openssl.dll

Supprimez le symbole de commentaire avant cette ligne pour activer la fonction SSL de PHP.

Résumé :

PHP.ini est le fichier de configuration de PHP, qui peut améliorer la sécurité de PHP grâce à des paramètres appropriés. Lors de la configuration de PHP.ini, nous devons désactiver l'affichage des erreurs, désactiver Magic Quotes, désactiver les fonctions dangereuses, définir des restrictions de téléchargement de fichiers et activer la transmission sécurisée. Ces paramètres contribuent à réduire le risque d’attaques du système et à assurer la sécurité des sites Web et des applications Web.

Bien sûr, ce qui précède ne sont que quelques paramètres de base. En fonction de vos besoins spécifiques, d'autres configurations plus spécifiques peuvent être requises, comme les paramètres de connexion à la base de données, les paramètres de sécurité de session, etc. Il est recommandé de lire attentivement la documentation PHP officielle et de configurer le fichier PHP.ini selon les dernières recommandations de sécurité pour garantir la sécurité du système.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!