明らかに、PHP Mysql Apache は非常に人気のある Web テクノロジであり、この組み合わせは強力でスケーラブルであり、無料です。ただし、PHP のデフォルト設定は、すでにオンラインになっている Web サイトにはあまり適していません。デフォルトの設定ファイルを変更して、PHPのセキュリティポリシーを強化しましょう!
0x01: リモート URL ファイル処理機能を無効にします
fopen のようなファイル処理関数は、ファイルの rul パラメータを受け入れます (例: fopen('http://www.yoursite.com','r'))。この関数はリモート リソースに簡単にアクセスできます。ただし、これは非常に重要なセキュリティ上の脅威です。ファイル機能を制限するには、この機能を無効にすることをお勧めします。
allow_url_fopen = オフ
0x02: グローバル変数の登録を無効にします
4.2.0 より前のバージョンでは、PHP は register_globals と呼ばれるグローバル変数を使用します。幸いなことに、この機能により、攻撃者がグローバル変数を簡単に操作できるようになります。 4.2.0 ではデフォルトで無効になっています。これは非常に危険なので、いかなる状況でも無効にする必要があります。一部のスクリプトでこの機能が必要な場合、そのスクリプトには潜在的なセキュリティ上の脅威があります。 pnp.ini を変更してこの機能を無効にします:
register_globals = オフ
0x03: PHP の読み取りおよび書き込み操作を制限します
多くの Web 開発プロセスでは、php スクリプトは /var/www/htdocs/files などのローカル ファイル システムの読み取りおよび書き込みを行う必要があります。セキュリティを強化するために、ローカル ファイルの読み取りおよび書き込み権限を変更できます。 :
open_basedir = /var/www/htdocs/files
0x04: ポーズ制限
PHP の実行時間、メモリ使用量、データの投稿とアップロードを制限することが最善の戦略です。次のように設定できます。
max_execution_time = 30 スクリプトの最大実行時間
max_input_time = 60 入力の解析に費やした最大時間
Memory_limit = 16M ; 1 つのスクリプトで使用される最大メモリ
Upload_max_filesize = 2M アップロードファイルの最大サイズ
post_max_size = 8M ; 最大投稿サイズ
0x05: エラー メッセージを無効にし、ログを有効にします
デフォルト設定では、PHP はアプリケーションの開発プロセス中にエラー メッセージをブラウザに出力します。このデフォルト設定は、ユーザーに次のようなセキュリティ情報を漏洩する可能性もあります。インストールパスとユーザー名。すでに開発されている Web サイトでは、エラー メッセージを無効にして、エラー メッセージをログ ファイルに出力することをお勧めします。
表示エラー = オフ
log_errors = オン
0x06: PHP ファイルを非表示
隠し PHP ファイルがない場合は、次のようなさまざまな方法でサーバーの PHP バージョンを取得できます。http://www.example.com/script.php?=PHPB8B5F2A0-3C92-11d3- A3A9- 4C7B08C10000
明らかに、ユーザーが Web サイトサーバーの PHP バージョンを直接取得できないようにする必要があります。幸いなことに、php.ini にはこの機能を無効にするスイッチがあります。
Expose_php = オフ
0x07: セーフモード構成
デフォルトでは、PHP はセーフ モードで設定できます。このモードでは、Apache はファイル、環境変数、バイナリ プログラムへのアクセスを禁止します。最大の問題は、ファイルの所有者のみがアクセスできることです。このプログラムを開発するために多くの開発者が協力している場合、この設定は現実的ではありません。また、他のプログラムが PHP ファイルにアクセスできないという問題もあります。ファイルを編集する場合、次の構成により、単一ユーザーではなくユーザー グループに対するファイルのアクセス許可を変更できます。
セーフモード = オフ
safe_mode_gid = オン
safe_mode_gid を有効にすることで、Apache を使用するこのグループは PHP ファイルにアクセスできるようになります。セーフ モードはバイナリの実行を防ぐのにも非常に効果的ですが、開発者は特定の状況下で一部のバイナリを実行できるようにしたい場合があります。これらの特殊なケースでは、バイナリ ファイルを (/var/www/binaries) などのディレクトリに配置し、次の設定を行うことができます:
safe_mode_exec_dir = /var/www/binaries
最後に、次の設定を通じてサーバーの環境変数にアクセスし、「_」で区切られたプレフィックスを指定して、指定されたプレフィックスを持つ環境変数のみにアクセスできるようにします。
safe_mode_allowed_env_vars = PHP_
0x08: 特定のサフィックス
を持つファイルへのパブリック ユーザー アクセスを制限しますセキュリティ上の理由により、mysql 接続情報などの機密情報が含まれる .inc 接尾辞を持つファイルなど、特定の接尾辞名を持つ多くのファイルには、一般ユーザーはアクセスできません。すべてのユーザーがこの設定ファイルにアクセスできます。Web サイトのセキュリティを強化するには、..htaccess ファイルで次の設定を行う必要があります:
注文の許可、拒否
全員から拒否
0x09: 概要
PHP のデフォルト設定は開発者向けであり、Web サイトが多数のユーザーを対象としている場合は、PHP を再設定することをお勧めします。
PHP安全防护:防范身份伪造攻击Jun 24, 2023 am 11:21 AM随着互联网的不断发展,越来越多的业务涉及到在线交互以及数据的传输,这就不可避免地引起了安全问题。其中最为常见的攻击手段之一就是身份伪造攻击(IdentityFraud)。本文将详细介绍PHP安全防护中如何防范身份伪造攻击,以保障系统能有更好的安全性。什么是身份伪造攻击?简单来说,身份伪造攻击(IdentityFraud),也就是冒名顶替,是指站在攻击者
PHP中的安全审计指南Jun 11, 2023 pm 02:59 PM随着Web应用程序的日益普及,安全审计也变得越来越重要。PHP是一种广泛使用的编程语言,也是很多Web应用程序的基础。本文将介绍PHP中的安全审计指南,以帮助开发人员编写更加安全的Web应用程序。输入验证输入验证是Web应用程序中最基本的安全特性之一。虽然PHP提供了许多内置函数来对输入进行过滤和验证,但这些函数并不能完全保证输入的安全性。因此,开发人员需要
PHP语言开发中避免跨站脚本攻击安全隐患Jun 10, 2023 am 08:12 AM随着互联网技术的发展,网络安全问题越来越受到关注。其中,跨站脚本攻击(Cross-sitescripting,简称XSS)是一种常见的网络安全隐患。XSS攻击基于跨站点脚本编写,攻击者将恶意脚本注入网站页面,通过欺骗用户或者通过其他方式植入恶意代码,获取非法利益,造成严重的后果。然而,对于PHP语言开发的网站来说,避免XSS攻击是一项极其重要的安全措施。因
PHP安全防护:防止恶意BOT攻击Jun 24, 2023 am 08:19 AM随着互联网的快速发展,网络攻击的数量和频率也在不断增加。其中,恶意BOT攻击是一种非常常见的网络攻击方式,它通过利用漏洞或弱密码等方式,获取网站后台登录信息,然后在网站上执行恶意操作,如篡改数据、植入广告等。因此,对于使用PHP语言开发的网站来说,加强安全防护措施,特别是在防止恶意BOT攻击方面,就显得非常重要。一、加强口令安全口令安全是防范恶意BOT攻击的
PHP安全防护:避免DDoS攻击Jun 24, 2023 am 11:21 AM随着互联网技术的飞速发展,网站的安全问题变得越来越重要。DDoS攻击是一种最为常见的安全威胁之一,特别是对于使用PHP语言的网站而言,因为PHP作为一种动态语言,容易受到不同形式的攻击。本文将介绍一些PHP网站防护技术,以帮助网站管理员降低DDoS攻击的风险。1.使用CDN(内容分发网络)CDN可以帮助网站管理员分发网站内容,将静态资源存储在CDN缓存中,减
如何使用PHP防止网站挂马攻击Jun 24, 2023 am 10:34 AM随着互联网的普及,网站挂马攻击已成为常见的安全威胁之一。无论是个人网站还是企业网站,都可能受到挂马攻击的威胁。PHP作为一种流行的Web开发语言,可以通过一些防护措施来防止网站挂马攻击。下面是介绍防止网站挂马攻击的几种常见方法:1.使用PHP安全框架。PHP安全框架是一个开源的PHP应用程序开发框架,它提供了一系列的防护措施,包括输入验证、跨站点脚本攻击(X
PHP安全防护:防止URL跳转漏洞Jun 24, 2023 am 10:42 AM随着互联网技术的不断发展,网站的安全问题变得越来越重要。其中,URL跳转漏洞是常见的一种安全漏洞。攻击者通过修改URL,将用户重定向到恶意网站或者伪造的网站,从而获得用户的敏感信息。针对这种漏洞,PHP开发者可以采取以下措施进行防护。参数校验当我们使用跳转页面时,要检查跳转的URL是否合法。如果跳转的URL是由用户提交的,那么应该对其进行参数校验。校验目的是
PHP语言开发中如何避免文件上传时的安全漏洞?Jun 10, 2023 pm 07:02 PM随着互联网应用的普及,文件上传已经成为了Web开发中不可或缺的一部分。通过文件上传,用户可以方便地将自己的文件上传至服务器上进行处理或存储。然而,文件上传功能也带来了一定的安全风险。攻击者可以通过提供恶意文件或利用文件上传漏洞等方式进行攻击,从而导致服务器遭受入侵、数据被盗窃或损坏等问题。因此,在进行Web开发中,开发人员需要注意文件上传功能的安全性,以避免
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
VSCode Windows 64 ビットのダウンロード
Microsoft によって発売された無料で強力な IDE エディター
WebStorm Mac版
便利なJavaScript開発ツール
DVWA
Damn Vulnerable Web App (DVWA) は、非常に脆弱な PHP/MySQL Web アプリケーションです。その主な目的は、セキュリティ専門家が法的環境でスキルとツールをテストするのに役立ち、Web 開発者が Web アプリケーションを保護するプロセスをより深く理解できるようにし、教師/生徒が教室環境で Web アプリケーションを教え/学習できるようにすることです。安全。 DVWA の目標は、シンプルでわかりやすいインターフェイスを通じて、さまざまな難易度で最も一般的な Web 脆弱性のいくつかを実践することです。このソフトウェアは、
SecLists
SecLists は、セキュリティ テスターの究極の相棒です。これは、セキュリティ評価中に頻繁に使用されるさまざまな種類のリストを 1 か所にまとめたものです。 SecLists は、セキュリティ テスターが必要とする可能性のあるすべてのリストを便利に提供することで、セキュリティ テストをより効率的かつ生産的にするのに役立ちます。リストの種類には、ユーザー名、パスワード、URL、ファジング ペイロード、機密データ パターン、Web シェルなどが含まれます。テスターはこのリポジトリを新しいテスト マシンにプルするだけで、必要なあらゆる種類のリストにアクセスできるようになります。
AtomエディタMac版ダウンロード
最も人気のあるオープンソースエディター
ホットトピック
7435
15135952