분명히 PHP Mysql Apache는 매우 인기 있는 웹 기술입니다. 이 조합은 강력하고 확장 가능하며 무료입니다. 그러나 PHP의 기본 설정은 이미 온라인 웹사이트에 적합하지 않습니다. 기본 구성 파일을 수정하여 PHP의 보안 정책을 강화해보자!
0x01: 원격 URL 파일 처리 기능 비활성화
fopen과 같은 파일 처리 함수는 파일의 rul 매개변수(예: fopen('http://www.yoursite.com','r'))를 허용합니다. 이 함수는 원격 리소스에 쉽게 액세스할 수 있습니다. 그러나 이는 매우 중요한 보안 위협이므로 파일 기능을 제한하려면 이 기능을 비활성화하는 것이 좋습니다.
allowed_url_fopen = 꺼짐
0x02: 전역 변수 등록 비활성화
4.2.0 이전 버전에서는 PHP가 전역 변수를 입력으로 사용합니다. 이 함수는 Register_globals라고 합니다. 다행히도 이 기능을 사용하면 공격자가 전역 변수를 쉽게 조작할 수 있기 때문에 웹 애플리케이션에 많은 보안 문제가 발생합니다. 4.2.0에서는 기본적으로 비활성화되어 있으므로 매우 위험하므로 어떤 상황에서도 비활성화해야 합니다. 일부 스크립트에 이 기능이 필요한 경우 해당 스크립트에는 잠재적인 보안 위협이 있습니다. 이 기능을 비활성화하려면 pnp.ini를 수정하세요.
Register_globals = 꺼짐
0x03: PHP 읽기 및 쓰기 작업 제한
많은 웹 개발 프로세스에서 PHP 스크립트는 /var/www/htdocs/files와 같은 로컬 파일 시스템을 읽고 써야 합니다. 보안을 강화하려면 로컬 파일의 읽기 및 쓰기 권한을 수정할 수 있습니다. :
open_basedir = /var/www/htdocs/files
0x04: 포즈 제한
PHP의 실행 시간, 메모리 사용량, 게시 및 업로드 데이터를 제한하는 것이 최선의 전략입니다.
max_execution_time = 30 ; 최대 스크립트 실행 시간
max_input_time = 60 ; 입력을 구문 분석하는 데 소요된 최대 시간
memory_limit = 16M ; 하나의 스크립트가 사용하는 최대 메모리
upload_max_filesize = 2M ; 최대 업로드 파일 크기
post_max_size = 8M 최대 게시물 크기
0x05: 오류 메시지 비활성화 및 로깅 활성화
기본 설정에서 PHP는 애플리케이션 개발 과정에서 브라우저에 오류 메시지를 출력합니다. 이 기본 설정은 가장 합리적인 구성이지만 다음과 같은 일부 보안 정보가 사용자에게 유출될 수도 있습니다. 설치 경로와 사용자 이름. 이미 개발된 웹사이트에서는 오류 메시지를 비활성화하고 오류 메시지를 로그 파일에 출력하는 것이 가장 좋습니다.
display_errors = 꺼짐
log_errors = 켜짐
0x06: PHP 파일 숨기기
숨겨진 PHP 파일이 없으면 다음과 같은 다양한 방법을 통해 서버 PHP 버전을 얻을 수 있습니다. http://www.example.com/script.php?=PHPB8B5F2A0-3C92-11d3- A3A9- 4C7B08C10000
분명히 우리는 사용자가 웹사이트 서버의 PHP 버전을 직접 얻는 것을 원하지 않습니다. 다행히 php.ini에는 이 기능을 비활성화하는 스위치가 있습니다.
노출_php = 꺼짐
0x07: 안전 모드 구성
기본적으로 PHP는 안전 모드에서 구성할 수 있습니다. 이 모드에서는 Apache가 파일, 환경 변수 및 바이너리 프로그램에 대한 액세스를 금지합니다. 안전 모드에서 가장 큰 문제는 파일 소유자만 액세스할 수 있다는 것입니다. PHP 파일. 이 프로그램을 개발하기 위해 많은 개발자가 함께 작업하는 경우 이 설정은 실용적이지 않습니다. PHP 파일에 액세스해야 하는 경우 다른 프로그램이 이러한 PHP에 액세스할 수 없다는 점입니다. 파일의 경우 다음 구성을 사용하면 단일 사용자 대신 사용자 그룹에 대한 파일 권한을 수정할 수 있습니다.
safe_mode = 꺼짐
safe_mode_gid = 켜짐
safe_mode_gid를 활성화하면 Apache를 사용하는 이 그룹이 PHP 파일에 액세스할 수 있습니다. 안전 모드는 바이너리 실행을 방지하는 데에도 매우 효과적이지만 개발자는 특정 상황에서 일부 바이너리를 실행할 수 있기를 원할 수 있습니다. 이러한 특별한 경우에는 바이너리 파일을 (/var/www/binaries)와 같은 디렉터리에 배치하고 다음 설정을 지정할 수 있습니다.
safe_mode_exec_dir = /var/www/binaries
마지막으로 다음 설정을 통해 서버의 환경 변수에 접근할 수 있으며, 접두사를 "_"로 구분하여 제공하면 지정된 접두사가 있는 환경 변수에만 접근할 수 있습니다.
safe_mode_allowed_env_vars = PHP_
0x08: 특정 접미사가 붙은 파일에 대한 일반 사용자 액세스 제한
보안상의 이유로 특정 접미사 이름을 가진 많은 파일(예: mysql 연결 정보와 같은 일부 민감한 정보가 포함된 .inc 접미사가 있는 파일)에 일반 사용자가 액세스할 수 없습니다. 모든 사용자는 이 구성 파일에 액세스할 수 있습니다. 웹사이트의 보안을 강화하려면 ..htaccess 파일에서 다음을 구성해야 합니다.
주문 허용, 거부
모두 거부
파일 일치>
0x09: 요약
PHP의 기본 구성은 개발자용입니다. 다수의 사용자를 대상으로 하는 웹사이트라면 PHP를 재구성하는 것이 좋습니다.
PHP安全防护:防范身份伪造攻击Jun 24, 2023 am 11:21 AM随着互联网的不断发展,越来越多的业务涉及到在线交互以及数据的传输,这就不可避免地引起了安全问题。其中最为常见的攻击手段之一就是身份伪造攻击(IdentityFraud)。本文将详细介绍PHP安全防护中如何防范身份伪造攻击,以保障系统能有更好的安全性。什么是身份伪造攻击?简单来说,身份伪造攻击(IdentityFraud),也就是冒名顶替,是指站在攻击者
PHP中的安全审计指南Jun 11, 2023 pm 02:59 PM随着Web应用程序的日益普及,安全审计也变得越来越重要。PHP是一种广泛使用的编程语言,也是很多Web应用程序的基础。本文将介绍PHP中的安全审计指南,以帮助开发人员编写更加安全的Web应用程序。输入验证输入验证是Web应用程序中最基本的安全特性之一。虽然PHP提供了许多内置函数来对输入进行过滤和验证,但这些函数并不能完全保证输入的安全性。因此,开发人员需要
PHP语言开发中避免跨站脚本攻击安全隐患Jun 10, 2023 am 08:12 AM随着互联网技术的发展,网络安全问题越来越受到关注。其中,跨站脚本攻击(Cross-sitescripting,简称XSS)是一种常见的网络安全隐患。XSS攻击基于跨站点脚本编写,攻击者将恶意脚本注入网站页面,通过欺骗用户或者通过其他方式植入恶意代码,获取非法利益,造成严重的后果。然而,对于PHP语言开发的网站来说,避免XSS攻击是一项极其重要的安全措施。因
PHP安全防护:防止恶意BOT攻击Jun 24, 2023 am 08:19 AM随着互联网的快速发展,网络攻击的数量和频率也在不断增加。其中,恶意BOT攻击是一种非常常见的网络攻击方式,它通过利用漏洞或弱密码等方式,获取网站后台登录信息,然后在网站上执行恶意操作,如篡改数据、植入广告等。因此,对于使用PHP语言开发的网站来说,加强安全防护措施,特别是在防止恶意BOT攻击方面,就显得非常重要。一、加强口令安全口令安全是防范恶意BOT攻击的
PHP安全防护:避免DDoS攻击Jun 24, 2023 am 11:21 AM随着互联网技术的飞速发展,网站的安全问题变得越来越重要。DDoS攻击是一种最为常见的安全威胁之一,特别是对于使用PHP语言的网站而言,因为PHP作为一种动态语言,容易受到不同形式的攻击。本文将介绍一些PHP网站防护技术,以帮助网站管理员降低DDoS攻击的风险。1.使用CDN(内容分发网络)CDN可以帮助网站管理员分发网站内容,将静态资源存储在CDN缓存中,减
如何使用PHP防止网站挂马攻击Jun 24, 2023 am 10:34 AM随着互联网的普及,网站挂马攻击已成为常见的安全威胁之一。无论是个人网站还是企业网站,都可能受到挂马攻击的威胁。PHP作为一种流行的Web开发语言,可以通过一些防护措施来防止网站挂马攻击。下面是介绍防止网站挂马攻击的几种常见方法:1.使用PHP安全框架。PHP安全框架是一个开源的PHP应用程序开发框架,它提供了一系列的防护措施,包括输入验证、跨站点脚本攻击(X
PHP安全防护:防止URL跳转漏洞Jun 24, 2023 am 10:42 AM随着互联网技术的不断发展,网站的安全问题变得越来越重要。其中,URL跳转漏洞是常见的一种安全漏洞。攻击者通过修改URL,将用户重定向到恶意网站或者伪造的网站,从而获得用户的敏感信息。针对这种漏洞,PHP开发者可以采取以下措施进行防护。参数校验当我们使用跳转页面时,要检查跳转的URL是否合法。如果跳转的URL是由用户提交的,那么应该对其进行参数校验。校验目的是
PHP语言开发中如何避免文件上传时的安全漏洞?Jun 10, 2023 pm 07:02 PM随着互联网应用的普及,文件上传已经成为了Web开发中不可或缺的一部分。通过文件上传,用户可以方便地将自己的文件上传至服务器上进行处理或存储。然而,文件上传功能也带来了一定的安全风险。攻击者可以通过提供恶意文件或利用文件上传漏洞等方式进行攻击,从而导致服务器遭受入侵、数据被盗窃或损坏等问题。因此,在进行Web开发中,开发人员需要注意文件上传功能的安全性,以避免
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
VSCode Windows 64비트 다운로드
Microsoft에서 출시한 강력한 무료 IDE 편집기
WebStorm Mac 버전
유용한 JavaScript 개발 도구
DVWA
DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는
SecList
SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.
Atom Editor Mac 버전 다운로드
가장 인기 있는 오픈 소스 편집기
