ホームページ >バックエンド開発 >PHPチュートリアル >PHP のセキュリティ問題の概要

PHP のセキュリティ問題の概要

巴扎黑
巴扎黑オリジナル
2016-11-29 10:09:27888ブラウズ

(1) PHP のセーフ モードをオンにする

PHP のセーフ モードは非常に重要な組み込みのセキュリティ メカニズムであり、system()、

などの PHP の一部の関数を制御できます。多くのファイル操作関数の権限を制御し、/etc/passwd などの特定のキー ファイルも許可しません

しかし、デフォルトの php.ini はセーフ モードをオンにしないため、これをオンにします:

safe_mode = on

(2) ユーザーグループのセキュリティ

safe_mode がオンで、safe_mode_gid がオフの場合、php スクリプトはファイルにアクセスでき、同じ

グループ内のユーザーもファイルにアクセスできます。

次のように設定することをお勧めします:

safe_mode_gid = off

これが設定されていない場合、

ファイルを操作する必要がある場合など、サーバー Web サイトのディレクトリ内のファイルを操作できない可能性があります。

(3) セーフ モードでプログラムを実行するためのホーム ディレクトリ

セーフ モードがオンになっているが、特定のプログラムを実行したい場合は、プログラムを実行するためのホーム ディレクトリを指定できます:

safe_mode_exec_dir = D:/usr/bin

通常、プログラムを実行する必要はないため、システム プログラム ディレクトリを実行しないことをお勧めします。

次に、実行する必要があるプログラムをコピーします (例:

safe_mode_exec_dir)。 = D:/tmp/cmd

ただし、プログラムは実行しないことをお勧めします。その場合は、Web ページのディレクトリを指定できます:

safe_mode_exec_dir = D:/usr/www

(4) ファイルをセーフ モードでインクルードします

特定のファイルをセーフ モードのパブリック ファイルに含めたい場合は、オプションを変更します:

safe_mode_include_dir = D:/usr/www/include/

実際、通常、php スクリプトに含まれるファイルはプログラムに記述されています。これは特定のニーズに応じて設定できます。

(5) PHP スクリプトがアクセスできるディレクトリを制御する

open_basedir オプションを使用して、PHP スクリプトが指定されたディレクトリにのみアクセスできるように制御します。これにより、PHP スクリプトがアクセスすべきではないファイルにアクセスするのを防ぎ、害を制限できます。 phpshell をある程度使用して、通常は Web サイトのディレクトリにのみアクセスするように設定できます:

open_basedir = D:/usr/www

(6) 危険な機能をオフにする

セーフモードがオンになっている場合は、次の関数を実行します。禁止する必要はありませんが、安全のために考慮する必要があります。たとえば、

コマンドを実行できる system() などの php 関数、または

phpinfo() や php 情報を表示できるその他の関数を実行したくない場合は、それらを無効にすることができます:

disable_functions = system ,passthru,exec,shell_exec,popen,phpinfo

ファイルやディレクトリの操作を禁止したい場合は、多くのファイル操作を閉じることができます

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen, unlink ,delete,copy,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

上記は、一般的に使用されないファイル処理関数のリストにすぎません。上記の実行コマンドを組み合わせることもできます。この関数と関数を組み合わせると、

はほとんどの phpshell に耐えることができます。

(7) http ヘッダーの PHP バージョン情報の漏洩をオフにする

ハッカーがサーバー内の PHP バージョン情報を取得するのを防ぐために、http ヘッダーの情報の漏洩をオフにすることができます:

Expose_php = Off

例えば、ハッカーは Telnet を使用します。 www.shilicn.com が 80 の場合、PHP 情報を見ることができなくなります。

(8) グローバル変数の登録をオフにする

PHP で送信された変数 (POST または GET を使用して送信された変数を含む) は、グローバル変数として自動的に登録され、直接アクセスできます

これはサーバーにとって非常に安全ではありません。グローバル変数として登録させることはできないので、グローバル変数の登録オプションをオフにします:

register_globals = Off

もちろん、このように設定されている場合は、取得時に合理的な方法を使用する必要があります。 GET var で送信された変数を取得するなど、対応する変数を取得するには $_GET['var'] を使用する必要があります。PHP プログラマはこれに注意する必要があります。

(9) SQLインジェクションを防ぐためにmagic_quotes_gpcをオンにする

SQLインジェクションは、小さい場合にはWebサイトのバックエンドに侵入され、深刻な場合にはサーバー全体が崩壊する非常に危険な問題です

ので注意してください。 php.ini には次の設定があります:

magic_quotes_gpc = Off

これがオンになっている場合、ユーザーが送信した SQL クエリが自動的に変換されます

たとえば、' を ' に変換します。これにより、SQL インジェクションが重要な役割を果たすことがなくなります。したがって、次のように設定することをお勧めします:

magic_quotes_gpc = On

(10) エラー メッセージ制御

一般に、php はデータベースに接続されていない場合、またはその他の状況下ではエラーを表示します。 php スクリプトの場合

以前のパス情報やクエリ SQL ステートメント、その他の情報は、この種の情報がハッカーに提供された後は安全ではないため、通常はサーバーでエラー プロンプトを無効にすることをお勧めします:

display_errors = Off

エラーを表示したい場合警告の上の情報のみを表示するなど、表示エラーのレベルを必ず設定してください:

error_reporting = E_WARNING & E_ERROR

もちろん、それでもエラー プロンプトをオフにすることをお勧めします。

(11) エラーログ

サーバー動作の原因を見つけやすくするために、display_errors をオフにしてエラー情報を記録することをお勧めします:

log_errors = On

同時に、次のディレクトリも設定する必要があります。エラー ログが保存されます。Apache ログを root にすることをお勧めします:

error_log = D:/usr/local/apache2/logs/php_error.log

注: ファイルは、Apache ユーザーとグループに許可する必要があります。書き込み権限を持っています。

制限された権限で実行される MYSQL

mysqlstart のような新しいユーザーを作成します

net user mysqlstart ****microsoft /add

net localgroup users mysqlstart /del

どのグループにも属しません

MYSQL がインストールされている場合d:mysql で、mysqlstart にフル コントロール権限を与えます

次に、システム サービスで MYSQL サービス プロパティを設定し、このユーザー mysqlstart を選択し、パスワードを入力します。

MYSQL サービスを再起動すると、MYSQL は低い特権で実行されます。

Apache が Windos プラットフォーム上に構築されている場合、Apache はデフォルトでシステム権限で実行されるため、非常に不快に感じます。次に、Apache の権限を下げてみましょう。

net user apache ****microsoft /add

net localgroup users apache /del

ok どのグループにも属さないユーザー apche を作成しました。

コンピューターマネージャーを開き、サービスを選択し、Apacheサービスのプロパティをクリックし、ログオンを選択し、このアカウントを選択し、上で作成したアカウントとパスワードを入力します。

Apacheサービスを再起動します。OK、Apacheが実行されます低い権限で降りました。

実際、Apache ユーザーが実行したいことのみを実行できるように各フォルダーの権限を設定し、ディレクトリごとに個別の読み取り/書き込みユーザーを作成することもできます。

これは、多くの仮想ホストプロバイダーで使用されている一般的な構成方法でもありますが、これを防ぐために使用すると過剰になります。 (http://www.65066.com.cn)

声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。