很明顯,PHP Mysql Apache是很流行的web技術,這個組合功能強大,可擴充性強,還是免費的。然而,PHP的預設設定對已經上線的網站不是那麼適合。以下透過修改預設的設定檔加強PHP的安全性策略!
0x01:停用遠端url檔案處理功能
像fopen的檔案處理函數,接受檔案的rul參數(例如:fopen('http://www.yoursite.com','r')).),這個功能可以很輕鬆的存取遠端資源,然而,這是一個很重要的安全威脅,禁用這個功能來限製file function是個不錯的選擇,在php.ini檔案中做以下修改:
allow_url_fopen = Off
0x02:停用註冊全域變數
php在4.2.0以前的版本中,用全局變量作為輸入,這個功能叫做register_globals,在web應用中它引起了很多安全問題,因為它允許攻擊者在一些情況下很容易的操作全局變量,幸運的是在4.2.0這個功能預設被停用,它非常的危險,無論在什麼情況下都要禁用這個功能。如果某些腳本需要這個功能,那麼這個腳本就存在潛在的安全威脅。修改pnp.ini來停用這個功能:
register_globals = Off
0x03:限制php的讀寫操作
在許多web開發的過程中,php腳本需要對本機檔案系統進行讀寫操作,例如/var/www/htdocs/files,為了加強安全,你可以修改本機檔案的讀寫權限:
open_basedir = /var/www/htdocs/files
0x04:Posing Limit
限制PHP的執行時間、記憶體使用量、post和upload的資料是最好的策略,可以做以下的設定:
max_execution_time = 30 ; Max script execution time
max_input_time = 60 ; Max time spent parsing input
memory_limit = 16M ; Max memory used by one script
upload_max_filesize = 2M ; Max upload file size
post_max_size = 8M ; Max post size
0x05:停用錯誤訊息和啟用日誌功能
在預設設定中,php會向瀏覽器輸出錯誤訊息,在應用程式的開發過程中,這個預設設定是最合理的配置,然而,它也可以向使用者洩漏一些安全訊息,例如安裝路徑和使用者名稱.在已經開發完成的網站中,最好停用錯誤訊息然後把錯誤訊息輸出到日誌檔案中。
display_errors = Off
log_errors = On
0x06:隱藏PHP檔案
如果沒有隱藏PHP文件,我們可以透過多種方法取得伺服器PHP的版本,例如使用:http://www.example.com/script.php?=PHPB8B5F2A0-3C92-11d3-A3A9- 4C7B08C10000
顯然,我們不希望使用者可以直接取得你網站伺服器的PHP版本,幸運的是,在php.ini有個開關可以停用這個功能:
expose_php = Off
0x07:安全模式配置
在預設的情況下,php可以配置為安全模式,在這種模式下,Apache禁止存取檔案、環境變數和二進位程序,在安全模式下,存在的最大問題就是只有檔案的擁有者才能存取這寫PHP文件,如果有很多開發者共同開發這個程序,這樣的設定就不切實際,當你需要訪問一個PHP文件時就需要修改這個文件的所有者,另外一個問題就是其它程序也不能訪問這些PHP文件,下面的配置就可以修改文件的權限為使用者群組而不是單一使用者。
safe_mode = Off
safe_mode_gid = On
透過啟用safe_mode_gid,能夠使用Apache的這個群組就能夠存取PHP檔案。安全模式對阻止二進位檔案的執行也非常有效,然而,開發者卻希望在某些特定情況下能夠運行一些二進位檔案。在這些特殊的情況下,可以將二進位檔案放進一個目錄中,例如(/var/www/binaries),可以做以下設定:
safe_mode_exec_dir = /var/www/binaries
最後,透過下面的設置,可以存取伺服器的環境變量,提供一個以」_「分割的前綴,這樣只能存取具有規定前綴的環境變數:
safe_mode_allowed_env_vars = PHP_
0x08:限制公用使用者對具有特定後綴名的檔案的存取
由於安全的原因,許多具有特定後綴名的文件不能被公共用戶所訪問,比如.inc後綴的文件,裡麵包含了一些敏感的信息,比如mysql連接信息,如果沒有適當的配置,那麼每個使用者都能存取這個設定文件,為了加強網站的安全,你需要在. .htaccess檔案進行如下的設定:
Order allow,deny
Deny from all
0x09:總結
PHP的預設配置是面向開發者的,如果網站面向廣大的用戶,建議重新配置PHP。
JavaScript在行動中:現實世界中的示例和項目Apr 19, 2025 am 12:13 AMJavaScript在現實世界中的應用包括前端和後端開發。 1)通過構建TODO列表應用展示前端應用,涉及DOM操作和事件處理。 2)通過Node.js和Express構建RESTfulAPI展示後端應用。
JavaScript和Web:核心功能和用例Apr 18, 2025 am 12:19 AMJavaScript在Web開發中的主要用途包括客戶端交互、表單驗證和異步通信。 1)通過DOM操作實現動態內容更新和用戶交互;2)在用戶提交數據前進行客戶端驗證,提高用戶體驗;3)通過AJAX技術實現與服務器的無刷新通信。
了解JavaScript引擎:實施詳細信息Apr 17, 2025 am 12:05 AM理解JavaScript引擎內部工作原理對開發者重要,因為它能幫助編寫更高效的代碼並理解性能瓶頸和優化策略。 1)引擎的工作流程包括解析、編譯和執行三個階段;2)執行過程中,引擎會進行動態優化,如內聯緩存和隱藏類;3)最佳實踐包括避免全局變量、優化循環、使用const和let,以及避免過度使用閉包。
Python vs. JavaScript:學習曲線和易用性Apr 16, 2025 am 12:12 AMPython更適合初學者,學習曲線平緩,語法簡潔;JavaScript適合前端開發,學習曲線較陡,語法靈活。 1.Python語法直觀,適用於數據科學和後端開發。 2.JavaScript靈活,廣泛用於前端和服務器端編程。
Python vs. JavaScript:社區,圖書館和資源Apr 15, 2025 am 12:16 AMPython和JavaScript在社區、庫和資源方面的對比各有優劣。 1)Python社區友好,適合初學者,但前端開發資源不如JavaScript豐富。 2)Python在數據科學和機器學習庫方面強大,JavaScript則在前端開發庫和框架上更勝一籌。 3)兩者的學習資源都豐富,但Python適合從官方文檔開始,JavaScript則以MDNWebDocs為佳。選擇應基於項目需求和個人興趣。
從C/C到JavaScript:所有工作方式Apr 14, 2025 am 12:05 AM從C/C 轉向JavaScript需要適應動態類型、垃圾回收和異步編程等特點。 1)C/C 是靜態類型語言,需手動管理內存,而JavaScript是動態類型,垃圾回收自動處理。 2)C/C 需編譯成機器碼,JavaScript則為解釋型語言。 3)JavaScript引入閉包、原型鍊和Promise等概念,增強了靈活性和異步編程能力。
JavaScript引擎:比較實施Apr 13, 2025 am 12:05 AM不同JavaScript引擎在解析和執行JavaScript代碼時,效果會有所不同,因為每個引擎的實現原理和優化策略各有差異。 1.詞法分析:將源碼轉換為詞法單元。 2.語法分析:生成抽象語法樹。 3.優化和編譯:通過JIT編譯器生成機器碼。 4.執行:運行機器碼。 V8引擎通過即時編譯和隱藏類優化,SpiderMonkey使用類型推斷系統,導致在相同代碼上的性能表現不同。
超越瀏覽器:現實世界中的JavaScriptApr 12, 2025 am 12:06 AMJavaScript在現實世界中的應用包括服務器端編程、移動應用開發和物聯網控制:1.通過Node.js實現服務器端編程,適用於高並發請求處理。 2.通過ReactNative進行移動應用開發,支持跨平台部署。 3.通過Johnny-Five庫用於物聯網設備控制,適用於硬件交互。
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
AI Hentai Generator
免費產生 AI 無盡。
熱門文章
熱工具
PhpStorm Mac 版本
最新(2018.2.1 )專業的PHP整合開發工具
WebStorm Mac版
好用的JavaScript開發工具
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
SublimeText3 Linux新版
SublimeText3 Linux最新版
SAP NetWeaver Server Adapter for Eclipse
將Eclipse與SAP NetWeaver應用伺服器整合。
