PHP 보안 설정에는 다음이 포함됩니다. 1. Shield PHP 버전 3. 전역 변수 닫기 4. 원격 리소스 액세스 금지 6.
추천: "PHP Tutorial"
최근에 동료들과 PHP 보안 관련 문제에 대해 이야기하고 경험을 기록했습니다.
스크립트 언어와 초기 버전 설계의 여러 가지 이유로 인해 PHP 프로젝트에는 많은 보안 위험이 있습니다. 구성 옵션에서 다음과 같은 최적화를 수행할 수 있습니다.
1. Shield PHP 오류 출력.
/etc/php.ini(기본 구성 파일 위치)에서 다음 구성 값을 Off로 변경하세요
display_errors=Off
해커가 관련 정보를 이용하는 것을 방지하기 위해 오류 스택 정보를 웹 페이지에 직접 출력하지 마세요.
올바른 접근 방식은 다음과 같습니다.
문제 해결을 용이하게 하려면 오류 로그를 로그 파일에 기록합니다.
2. PHP 버전을 차단하세요.
기본적으로 PHP 버전은 다음과 같이 반환 헤더에 표시됩니다. 응답 헤더 X-powered-by: PHP/7.2.0Response Headers X-powered-by: PHP/7.2.0
将php.ini中如下的配置值改为Off
expose_php=Off
3.关闭全局变量。
如果开启全局变量会使一些表单提交的数据被自动注册为全局变量。代码如下:
如果开启了全局变量,则服务器端PHP脚本可以用$username和$password来获取到用户名和密码,这会造成极大的脚本注入危险。
开启方法是在php.ini中修改如下:
register_globals=On
建议关闭,参数如下:
register_globals=Off
当关闭后,就只能从$_POST、$_GET、$_REQUEST里面获取相关参数。
4.文件系统限制
可以通过open_basedir来限制PHP可以访问的系统目录。
如果不限制使用下面的脚本代码(hack.php)可以获取到系统密码。
<?php echo file_get_contents('/etc/passwd');
当设置了后则会报错,不再显示相关信息,让系统目录b不会被非法访问:
PHP Warning: file_get_contents(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www) in /var/www/hack.php on line 3
Warning: file_get_contents(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www) in /var/www/hack.php on line 3 PHP Warning: file_get_contents(/etc/passwd): failed to open stream: Operation not permitted in /var/www/hack.php on line 3
Warning: file_get_contents(/etc/passwd): failed to open stream: Operation not permitted in /var/www/hack.php on line 3
设置方法如下:
open_basedir=/var/www
5.禁止远程资源访问。
allow_url_fopen=Off allow_url_include=Off
其他第三方安全扩展6.Suhosin。Place php.ini 다음과 같이 구성 값을 Off
wget http://download.suhosin.org/suhosin-0.9.37.1.tar.gztar zxvf suhosin-0.9.37.1.tar.gz cd suhosin-0.9.37.1/phpize./configure --with-php-config=/usr/local/bin/php-config make make install 在php.ini下加入suhosin.so即可 extension=suhosin.so
으로 변경합니다. 3. 전역 변수를 닫습니다.
전역 변수가 활성화되면 양식에 제출된 일부 데이터가 자동으로 전역 변수로 등록됩니다. 코드는 다음과 같습니다.
suhosin.session.encrypt = On suhosin.session.cryptkey = zuHywawAthLavJohyRilvyecyondOdjo suhosin.session.cryptua = On suhosin.session.cryptdocroot = On ;; IPv4 only suhosin.session.cryptraddr = 0suhosin.session.checkraddr = 0
전역 변수가 활성화된 경우 서버 측 PHP 스크립트는 $username 및 $password를 사용하여 사용자 이름과 비밀번호를 얻을 수 있으며 이로 인해 스크립트 삽입의 위험이 커집니다. 켜는 방법은 php.ini에서 다음과 같이 수정하는 것입니다. suhosin.cookie.encrypt = On
;; the cryptkey should be generated, e.g. with 'apg -m 32'suhosin.cookie.cryptkey = oykBicmyitApmireipsacsumhylWaps1
suhosin.cookie.cryptua = On
suhosin.cookie.cryptdocroot = On
;; whitelist/blacklist (use only one)
;suhosin.cookie.cryptlist = WALLET,IDEAS
suhosin.cookie.plainlist = LANGUAGE
;; IPv4 only
suhosin.cookie.cryptraddr = 0suhosin.cookie.checkraddr = 0Blocking Functions
测试##默认PHP的Session保存在tmp路径下ll -rt /tmp | grep sess##扩展未开启时查看某条sesson的数据cat sess_ururh83qvkkhv0n51lg17r4aj6//记录是明文的##扩展开启后查看某条sesson 的数据cat sess_ukkiiiheedupem8k4hheo0b0v4//记录是密文的可见加密对安全的重要性
끄는 것이 좋습니다. 매개변수는 다음과 같습니다.
##显式指定指定白名单列表
suhosin.executor.func.whitelist = htmlentities,htmlspecialchars,base64_encode
suhosin.executor.eval.whitelist = htmlentities,htmlspecialchars,base64_encode
<?php
echo htmlentities('<test>');
eval('echo htmlentities("<test>");');- 꺼지면 해당 매개변수만 사용할 수 있습니다. $_POST, $_GET, $_REQUEST에서 얻을 수 있습니다.
-
- 4. 파일 시스템 제한
- open_basedir을 사용하여 PHP가 액세스할 수 있는 시스템 디렉터리를 제한할 수 있습니다.
- 다음 스크립트 코드(hack.php)를 제한 없이 사용하시면 시스템 비밀번호를 얻으실 수 있습니다.
##显式指定指定黑名单列表 suhosin.executor.func.blacklist = assert,unserialize,exec,popen,proc_open,passthru,shell_exec,system,hail,parse_str,mt_srand suhosin.executor.eval.whitelist = assert,unserialize,exec,popen,proc_open,passthru,shell_exec,system,hail,parse_str,mt_srand 通过日志来查看非法调用黑白名单 suhosin.simulation = 1 suhosin.log.file = 511 suhosin.log.file.name = /tmp/suhosin-alert.log
PHP 경고: file_get_contents(): open_basedir 제한이 적용됩니다. (/etc/passwd)가 허용된 경로 내에 없습니다: (/var/www) /var/www/hack.php 3행
경고: file_get_contents() : open_basedir 제한이 적용됩니다. 파일(/etc/passwd)이 허용된 경로(/var/www)(/var/www/hack.php의 3행) 내에 없습니다. PHP 경고: file_get_contents(/etc/passwd) ): 스트림을 열지 못했습니다: 3행의 /var/www/hack.php에서 작업이 허용되지 않습니다🎜🎜🎜🎜경고: file_get_contents(/etc/passwd): 스트림을 열지 못했습니다: 작업이 아닙니다. 3행의 /var /www/hack.php에 허용됨🎜🎜🎜설정 방법은 다음과 같습니다: 🎜suhosin.executor.include.max_traversal 扩目录的最大深度,可以屏蔽切换到非法路径 suhosin.executor.include.whitelist 允许包含的URL,用逗号分隔 suhosin.executor.include.blacklist 禁止包含的URL,用逗号分隔 suhosin.executor.disable_eval = On 禁用eval函数 suhosin.upload.max_uploads suhosin.upload.disallow_elf suhosin.upload.disallow_binary suhosin.upload.remove_binary suhosin.upload.verification_script 上传文件检查脚本,可以来检测上传的内容是否包含webshell特征🎜🎜5 .원격 리소스 액세스를 비활성화합니다. 🎜🎜🎜rrreee🎜기타 타사 보안 확장🎜🎜🎜
6.Suhosin. 🎜🎜🎜🎜Suhosin은 PHP 프로그램 보호 시스템입니다. 이는 원래 PHP 프로그램 및 PHP 코어의 알려진 또는 알려지지 않은 결함으로부터 서버와 사용자를 보호하기 위해 설계되었습니다(매우 실용적이고 일부 사소한 공격에 저항할 수 있음). 수호신은 두 개의 독립된 부분으로 구성되어 있어 별도로 사용하거나 결합하여 사용할 수 있습니다. 🎜🎜첫 번째 부분은 버퍼 오버플로 또는 형식 문자열 약점을 방지할 수 있는 PHP 코어용 패치입니다(필수입니다!). 🎜🎜두 번째 부분은 강력한 PHP 확장입니다(확장 모드는 매우 훌륭하며 설치가 쉽습니다). ...) 기타 모든 보호 조치가 포함됩니다. 🎜🎜확장 프로그램 설치🎜rrreee🎜🎜🎜기능🎜🎜🎜🎜🎜에뮬레이터 보호 모드🎜🎜PHP 코어에 sha256() 및 sha256_file() 두 함수 추가🎜🎜모든 플랫폼, crypt() 함수에 CRYPT_BLOWFISH 추가🎜 🎜턴 phpinfo() 페이지에 대한 투명한 보호 🎜🎜SQL 데이터베이스 사용자 보호(테스트 단계) 🎜🎜🎜🎜🎜런타임 보호 🎜🎜🎜- 加密cookies
- 防止不同种类的包含漏洞(不允许远程URL包含(黑/白名单);不允许包含已上传的文件;防止目录穿越攻击)
- 允许禁止preg_replace()
- 允许禁止eval()函数
- 通过配置一个最大执行深度,来防止无穷递归
- 支持每个vhost配置黑白名单
- 为代码执行提供分离的函数黑白名单
- 防止HTTP响应拆分漏洞
- 防止脚本控制memory_limit选项
- 保护PHP的superglobals,如函数extract(),import_request_vars()
- 防止mail()函数的新行攻击
- 防止preg_replace()的攻击
Session 保护
- 加密session数据
- 防止session被劫持
- 防止超长的session id
- 防止恶意的session id
SESSION里的数据通常在服务器上的明文存放的。这里通过在服务端来加解密$_SESSION。这样将Session的句柄存放在Memcache或数据库时,就不会被轻易攻破,很多时候我们的session数据会存放一些敏感字段。
这个特性在缺省情况下是启用的,也可以通过php.ini来修改:
suhosin.session.encrypt = On suhosin.session.cryptkey = zuHywawAthLavJohyRilvyecyondOdjo suhosin.session.cryptua = On suhosin.session.cryptdocroot = On ;; IPv4 only suhosin.session.cryptraddr = 0suhosin.session.checkraddr = 0
Cookie加密
Cookie在客户端浏览器的传输的HTTP头也是明文的。通过加密cookie,您可以保护您的应用程序对众多的攻击,如
- Cookie篡改:攻击者可能会尝试猜测其他合理的cookie值来攻击程序。
- 跨应用程序使用Cookie:不正确配置的应用程序可能具有相同的会话存储,如所有会话默认存储在/tmp目录下,一个应用程序的cookie可能永远不会被重新用于另一应用,只要加密密钥不同。
Cookie加密在php.ini中的配置:
suhosin.cookie.encrypt = On ;; the cryptkey should be generated, e.g. with 'apg -m 32'suhosin.cookie.cryptkey = oykBicmyitApmireipsacsumhylWaps1 suhosin.cookie.cryptua = On suhosin.cookie.cryptdocroot = On ;; whitelist/blacklist (use only one) ;suhosin.cookie.cryptlist = WALLET,IDEAS suhosin.cookie.plainlist = LANGUAGE ;; IPv4 only suhosin.cookie.cryptraddr = 0suhosin.cookie.checkraddr = 0Blocking Functions 测试##默认PHP的Session保存在tmp路径下ll -rt /tmp | grep sess##扩展未开启时查看某条sesson的数据cat sess_ururh83qvkkhv0n51lg17r4aj6//记录是明文的##扩展开启后查看某条sesson 的数据cat sess_ukkiiiheedupem8k4hheo0b0v4//记录是密文的可见加密对安全的重要性
阻断功能
白名单
##显式指定指定白名单列表
suhosin.executor.func.whitelist = htmlentities,htmlspecialchars,base64_encode
suhosin.executor.eval.whitelist = htmlentities,htmlspecialchars,base64_encode
<?php
echo htmlentities('<test>');
eval('echo htmlentities("<test>");');黑名单
##显式指定指定黑名单列表 suhosin.executor.func.blacklist = assert,unserialize,exec,popen,proc_open,passthru,shell_exec,system,hail,parse_str,mt_srand suhosin.executor.eval.whitelist = assert,unserialize,exec,popen,proc_open,passthru,shell_exec,system,hail,parse_str,mt_srand 通过日志来查看非法调用黑白名单 suhosin.simulation = 1 suhosin.log.file = 511 suhosin.log.file.name = /tmp/suhosin-alert.log
其他配置项
suhosin.executor.include.max_traversal 扩目录的最大深度,可以屏蔽切换到非法路径 suhosin.executor.include.whitelist 允许包含的URL,用逗号分隔 suhosin.executor.include.blacklist 禁止包含的URL,用逗号分隔 suhosin.executor.disable_eval = On 禁用eval函数 suhosin.upload.max_uploads suhosin.upload.disallow_elf suhosin.upload.disallow_binary suhosin.upload.remove_binary suhosin.upload.verification_script 上传文件检查脚本,可以来检测上传的内容是否包含webshell特征
使用Suhosin,你可以得到一些错误日志,你能把这些日志放到系统日志中,也可以同时写到其他任意的日志文件中去;
它还可以为每一个虚拟主机创建黑名单和白名单;
可以过滤GET和POST请求、文件上载和cookie;
你还能传送加密的会话和cookie,可以设置不能传送的存储上线等等;
它不像原始的PHP强化补丁,Suhosin是可以被像Zend Optimizer这样的第三方扩展软件所兼容的。
위 내용은 PHP의 보안 설정은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
산과 기본 데이터베이스 : 차이 및 각각을 사용 해야하는시기.Mar 26, 2025 pm 04:19 PM이 기사는 산 및 기본 데이터베이스 모델을 비교하여 특성과 적절한 사용 사례를 자세히 설명합니다. 산은 금융 및 전자 상거래 애플리케이션에 적합한 데이터 무결성 및 일관성을 우선시하는 반면 Base는 가용성 및
PHP 보안 파일 업로드 : 파일 관련 취약점 방지.Mar 26, 2025 pm 04:18 PM이 기사는 코드 주입과 같은 취약점을 방지하기 위해 PHP 파일 업로드 보안에 대해 설명합니다. 파일 유형 유효성 검증, 보안 저장 및 오류 처리에 중점을 두어 응용 프로그램 보안을 향상시킵니다.
PHP 입력 유효성 검증 : 모범 사례.Mar 26, 2025 pm 04:17 PM기사는 내장 함수 사용, 화이트리스트 접근 방식 및 서버 측 유효성 검사와 같은 기술에 중점을 둔 보안을 향상시키기 위해 PHP 입력 유효성 검증에 대한 모범 사례를 논의합니다.
PHP API 요율 제한 : 구현 전략.Mar 26, 2025 pm 04:16 PM이 기사는 토큰 버킷 및 누출 된 버킷과 같은 알고리즘을 포함하여 PHP에서 API 요율 제한을 구현하고 Symfony/Rate-Limiter와 같은 라이브러리 사용 전략에 대해 설명합니다. 또한 모니터링, 동적 조정 요율 제한 및 손도 다룹니다.
PHP 비밀번호 해싱 : password_hash 및 password_verify.Mar 26, 2025 pm 04:15 PM이 기사에서는 PHP에서 암호를 보호하기 위해 PHP에서 Password_hash 및 Password_Verify 사용의 이점에 대해 설명합니다. 주요 주장은 이러한 기능이 자동 소금 생성, 강한 해싱 알고리즘 및 Secur를 통해 암호 보호를 향상 시킨다는 것입니다.
OWASP Top 10 PHP : 일반적인 취약점을 설명하고 완화하십시오.Mar 26, 2025 pm 04:13 PM이 기사는 PHP 및 완화 전략의 OWASP Top 10 취약점에 대해 설명합니다. 주요 문제에는 PHP 응용 프로그램을 모니터링하고 보호하기위한 권장 도구가 포함 된 주입, 인증 파손 및 XSS가 포함됩니다.
PHP XSS 예방 : XSS로부터 보호하는 방법.Mar 26, 2025 pm 04:12 PM이 기사는 PHP의 XSS 공격을 방지하기위한 전략, 입력 소독, 출력 인코딩 및 보안 향상 라이브러리 및 프레임 워크 사용에 중점을 둔 전략에 대해 설명합니다.
PHP 인터페이스 대 추상 클래스 : 각각을 사용할 때.Mar 26, 2025 pm 04:11 PM이 기사는 각각의 사용시기에 중점을 둔 PHP의 인터페이스 및 추상 클래스 사용에 대해 설명합니다. 인터페이스는 관련없는 클래스 및 다중 상속에 적합한 구현없이 계약을 정의합니다. 초록 클래스는 일반적인 기능을 제공합니다
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
SecList
SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
에디트플러스 중국어 크랙 버전
작은 크기, 구문 강조, 코드 프롬프트 기능을 지원하지 않음
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
VSCode Windows 64비트 다운로드
Microsoft에서 출시한 강력한 무료 IDE 편집기
