PHP セキュリティ設定には、1. PHP エラー出力のシールド、2. PHP バージョンのシールド、3. グローバル変数のクローズ、4. ファイル システムの制限、5. リモート リソース アクセスの禁止、6. 拡張機能のインストールなどがあります。 。
推奨事項: 「PHP チュートリアル 」
最近、PHP のセキュリティ関連の問題について同僚と話し、記録しました。いくつかの洞察。
スクリプト言語と初期バージョンの設計に起因するさまざまな理由により、PHP プロジェクトには多くのセキュリティ リスクが存在します。構成オプションから、次の最適化を行うことができます。
#1. PHP エラー出力をシールドします。
/etc/php.ini (デフォルトの設定ファイルの場所) で、次の設定値を Off に変更します
display_errors=Off
エラー スタック情報を直接ファイルに出力しないでください。 Web ページ 、ハッカーが関連情報を使用するのを防ぐため。
正しいアプローチは次のとおりです。
トラブルシューティングを容易にするために、エラー ログをログ ファイルに書き込みます。
#2. PHP バージョンをブロックします。
デフォルトでは、Response Headers X-powered-by: PHP/7.2 のように、PHP バージョンが戻りヘッダーに表示されます。 0
php.ini の次の設定値を Off
expose_php=Off
3 に変更し、グローバル変数を閉じます。
グローバル変数が有効になっている場合、一部のフォーム送信データはグローバル変数として自動的に登録されます。コードは次のとおりです。
8c3bc885220860b6d9c8ecee39e3f1e4 65c66f718e7553c00f08c9ee5fc59a5f c5956f77ce1de04ac80d4a62707969bf 5929f3845b6ed91b818cfdf1b6f901fd f5a47148e367a6035fd7a2faa965022e
グローバル変数が有効になっている場合、サーバー側の PHP スクリプトは $username と $password を使用してユーザー名とパスワードを取得できます。これにより、スクリプト インジェクションの大きな危険が生じます。
これを有効にする方法は、php.ini を次のように変更することです:
register_globals=On
それを閉じることをお勧めします。パラメータは次のとおりです:
register_globals=Off
When閉じられており、 $_POST と $_GET からのみアクセスでき、 $_REQUEST で関連パラメータを取得します。
4. ファイル システムの制限
open_basedir を使用して、PHP がアクセスできるシステム ディレクトリを制限できます。
以下のスクリプトコード(hack.php)を制限なく使用すると、システムパスワードを取得できます。
<?php echo file_get_contents('/etc/passwd');
設定すると、エラーが報告され、関連情報が表示されなくなり、システム ディレクトリ b が不正にアクセスされなくなります:
PHP 警告: file_get_contents(): open_basedir 制限が有効です。ファイル (/etc/passwd) が許可されたパス内にありません: (/var/www) (/var/www/hack.php の 3 行目)
警告: file_get_contents(): open_basedir 制限が有効です。ファイル (/etc/passwd) が許可されたパス内にありません: /var/ 内の (/var/www) www/hack.php 行 3 PHP 警告: file_get_contents(/etc/passwd): ストリームを開けませんでした: 操作は /var/www/hack.php 行 3
#警告: file_get_contents(/etc/passwd): ストリームを開けませんでした: /var/www/hack.php の 3 行目で操作は許可されていません
open_basedir=/var/www
5. リモートリソースへのアクセスを禁止します。
allow_url_fopen=Off allow_url_include=Offその他のサードパーティ製セキュリティ拡張機能
6.Suhosin。 Suhosin は、PHP プログラムの保護システムです。これはもともと、PHP プログラムと PHP コアの既知または未知の欠陥からサーバーとユーザーを保護するために設計されました (非常に実用的で、いくつかの軽微な攻撃に耐えることができます)。スホシンには 2 つの独立したパーツがあり、別々に使用することも、組み合わせて使用することもできます。
wget http://download.suhosin.org/suhosin-0.9.37.1.tar.gztar zxvf suhosin-0.9.37.1.tar.gz cd suhosin-0.9.37.1/phpize./configure --with-php-config=/usr/local/bin/php-config make make install 在php.ini下加入suhosin.so即可 extension=suhosin.so
機能
##エミュレータ保護モードランタイム保護 Session 保护 SESSION里的数据通常在服务器上的明文存放的。这里通过在服务端来加解密 这个特性在缺省情况下是启用的,也可以通过php.ini来修改: Cookie加密 Cookie在客户端浏览器的传输的HTTP头也是明文的。通过加密cookie,您可以保护您的应用程序对众多的攻击,如 Cookie加密在php.ini中的配置: 阻断功能 白名单 黑名单 其他配置项 使用Suhosin,你可以得到一些错误日志,你能把这些日志放到系统日志中,也可以同时写到其他任意的日志文件中去; 它还可以为每一个虚拟主机创建黑名单和白名单; 可以过滤GET和POST请求、文件上载和cookie; 你还能传送加密的会话和cookie,可以设置不能传送的存储上线等等; 它不像原始的PHP强化补丁,Suhosin是可以被像Zend Optimizer这样的第三方扩展软件所兼容的。
$_SESSION
。这样将Session的句柄存放在Memcache或数据库时,就不会被轻易攻破,很多时候我们的session数据会存放一些敏感字段。suhosin.session.encrypt = On
suhosin.session.cryptkey = zuHywawAthLavJohyRilvyecyondOdjo
suhosin.session.cryptua = On
suhosin.session.cryptdocroot = On
;; IPv4 only
suhosin.session.cryptraddr = 0suhosin.session.checkraddr = 0
suhosin.cookie.encrypt = On
;; the cryptkey should be generated, e.g. with 'apg -m 32'suhosin.cookie.cryptkey = oykBicmyitApmireipsacsumhylWaps1
suhosin.cookie.cryptua = On
suhosin.cookie.cryptdocroot = On
;; whitelist/blacklist (use only one)
;suhosin.cookie.cryptlist = WALLET,IDEAS
suhosin.cookie.plainlist = LANGUAGE
;; IPv4 only
suhosin.cookie.cryptraddr = 0suhosin.cookie.checkraddr = 0Blocking Functions
测试##默认PHP的Session保存在tmp路径下ll -rt /tmp | grep sess##扩展未开启时查看某条sesson的数据cat sess_ururh83qvkkhv0n51lg17r4aj6//记录是明文的##扩展开启后查看某条sesson 的数据cat sess_ukkiiiheedupem8k4hheo0b0v4//记录是密文的可见加密对安全的重要性
##显式指定指定白名单列表
suhosin.executor.func.whitelist = htmlentities,htmlspecialchars,base64_encode
suhosin.executor.eval.whitelist = htmlentities,htmlspecialchars,base64_encode
<?php
echo htmlentities('<test>');
eval('echo htmlentities("<test>");');
##显式指定指定黑名单列表
suhosin.executor.func.blacklist = assert,unserialize,exec,popen,proc_open,passthru,shell_exec,system,hail,parse_str,mt_srand
suhosin.executor.eval.whitelist = assert,unserialize,exec,popen,proc_open,passthru,shell_exec,system,hail,parse_str,mt_srand
通过日志来查看非法调用黑白名单
suhosin.simulation = 1
suhosin.log.file = 511
suhosin.log.file.name = /tmp/suhosin-alert.log
suhosin.executor.include.max_traversal 扩目录的最大深度,可以屏蔽切换到非法路径
suhosin.executor.include.whitelist 允许包含的URL,用逗号分隔
suhosin.executor.include.blacklist 禁止包含的URL,用逗号分隔
suhosin.executor.disable_eval = On 禁用eval函数
suhosin.upload.max_uploads
suhosin.upload.disallow_elf
suhosin.upload.disallow_binary
suhosin.upload.remove_binary
suhosin.upload.verification_script 上传文件检查脚本,可以来检测上传的内容是否包含webshell特征
以上がPHPのセキュリティ設定は何ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。