透過對php一些伺服器端特性的配置來加強php的安全性

首頁

後端開發

php教程

透過對php一些伺服器端特性的配置來加強php的安全性_PHP教程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 21, 2016 pm 04:09 PM

php加強安全對伺服器的透過配置

透過對php一些伺服器端特性的配置加強php的安全

by san@xfocus.org

前面象Shaun Clowes和rfp等都比較詳細的介紹了php、cgi程式在程式設計過程中遇到的問題，以及如何通
過應用程式漏洞突破系統，這篇文章我們來透過對php的一些伺服器端特性來進行設定加強php的安全。寫
cgi腳本的時候我們的確一定注意各種安全問題，對用戶輸入進行嚴格的過濾，但是常在岸邊走哪有不濕鞋
，吃燒餅哪有不掉芝麻，人有失蹄馬有失手，連著名的phpnuke、phpMyAdmin等程式都出現過很嚴重的
問題，更何況像我等小混混寫的腳本。所以現在我們假設php腳本已經出現嚴重問題，比如像前一陣子
phpnuke的可以上傳php腳本的大問題了，我們如何透過對伺服器的配置使腳本出現如此問題也不能突破
系統。

1、編譯的時候注意補上已知的漏洞
從4.0.5開始，php的mail函數加入了第五個參數，但它沒有好好過濾，使得php應用程式能突破
safe_mode的限製而去執行指令。所以使用4.0.5和4.0.6的時候在編譯前我們需要修改php原始碼包裡
ext/standard/mail.c文件，禁止mail函數的第五參數或過濾shell字元。在mail.c檔的第152
行，也就是下面這行：
if (extra_cmd != NULL) {
後面加上extra_cmd=NULL;或extra_cmd = php_escape__cm ;然後編譯php
那我們就修補了這個漏洞。

2、修改php.ini設定檔
以php發行版的php.ini-dist為藍本進行修改。
1)Error handling and logging
在Error handling and logging部分可以做一些設定。先找到：
display_errors = On
php缺省是打開錯誤訊息顯示的，我們把它改為：
display_errors = Off
 php函數執行錯誤的訊息將不會再顯示給用戶，這樣能在一定程度上防止攻擊者從
錯誤訊息得知腳本的物理位置，以及一些其它有用的信息，起碼給攻擊者的黑箱偵測造成一定的障礙
。這些錯誤訊息可能對我們自己有用，可以讓它寫到指定文件中去，那麼修改以下：
log_errors = Off
改為：
log_errors = On
;error_log = filename
去掉前面的;註釋，把filename改為指定文件，如/usr/local/apache/logs/php_error. log
error_log = /usr/local/apache/logs/php_error.log
這樣所有的錯誤都會寫到php_error.log檔案裡。
2)Safe Mode
php的safe_mode功能對許多函數進行了限製或禁用了，能在很大程度上解決php的安全問題。在
Safe Mode部分找到：
safe_mode = Off
改為：
safe_mode = On
像一些能執行系統指令的函數shell_exec()和``被禁止，其它的一
些執行函數如：exec(), system(), passthru(), popen()將被限制只能執行
safe_mode_exec_dir指定目錄下的程式。如果你實在是要執行一些指令或程序，找到以下：
safe_mode_exec_dir =
指定要執行的程式的路徑，如：
safe_mode exec
然後把要用的程式拷到/usr/local/php/exec目錄下，這樣，像上面的被限制的函數還能執行該目錄
裡的程式。
關於安全模式下受限函數的詳細資訊請參閱php主站的說明：
http://www.php.net/manual/en/features.safe-mode.php
3)disable_functions
如果你對某些函數的危害性不太清楚，而且也沒有使用，索性把這些函數禁止了。求下面這行：
disable_functions =
在」=「後面加上要禁止的函數，多函數用」,「隔開。

3、修改httpd.conf
如果你只允許你的php腳本程式在web目錄裡操作，還可以修改httpd.conf檔案限制php的操作路徑。比
如你的web目錄是/usr/local/apache/htdocs，那麼在httpd.conf裡面加上這麼幾行：

 php_admin_value open_basedir /usr/local/apache/htdocs

這樣，如果腳本要讀取/usr/local/apache/htdocs以外的檔案將不會被允許，如果錯誤顯示打開的話
會提示這樣的錯誤：
Warning: open_basedir restriction in effect. File is in wrong directory in
/usr/local/ > 等等。

4、對php程式碼進行編譯
Zend對php的貢獻很大，php4的引擎就是用Zend的，而且它還開發了ZendOptimizer和ZendEncode
等許多php的加強組件。優化器ZendOptimizer只需在http://www.zend.com註冊就可以免費得到，
下面幾個是用於4.0.5和4.0.6的ZendOptimizer，文件名分別對於各自的系統：
ZendOptimizer-1.1.0-PHP_4.0.5-FreeBSD4.0-i386.tar.gz
ZendOptimizer-1.1.0-PHP_4.0.5-LinZendOptimizer-1.1.0-PHP_4.0.5-Linux_glibc21-i58o. .0-PHP_4.0.5-Solaris-sparc.tar.gz
ZendOptimizer-1.1.0-PHP_4.0.5-Windows-i386.zip
優化器的安裝非常方便，包裡面都有詳細的包裝說明。以UNIX版本的為例，看清作業系統，把包包裡的
ZendOptimizer.so檔案解壓縮到一個目錄，假設是/usr/local/lib下，在php.ini裡加上兩句：
zend_optimizer.optimization_level=15
zend_extension="/usr/local/lib/ZendOptimizer.so"
就可以了。用phpinfo()看到Zend圖示左邊有下面文字：
with Zend Optimizer v1.1.0, Copyright (c) 1998-2000, by Zend Technologies
那麼，優化器已經掛接成功了。
但是編譯器ZendEncode並不是免費的，這裡提供給大家一個http://www.PHPease.com的馬勇設計的
編譯器外殼，如果用於商業目的，請與http: //www.zend.com聯絡取得授權協議。
php腳本編譯後，腳本的執行速度增加不少，腳本檔案只能看到一堆亂碼，這將阻止攻擊者進一步分析服
務器上的腳本程序，而且原先在php腳本裡以明文儲存的口令也得到了保密，如mysql的口令。不過在服
務器端改腳本就比較麻煩了，還是本地改好再上傳吧。

5、檔案及目錄的權限設定
web目錄裡除了上傳目錄，其它的目錄和檔案的權限一定不能讓nobody使用者有寫權限。否則，攻擊者可
以修改主頁文件，所以web目錄的權限一定要設定好。
還有，php腳本的屬主千萬不能是root，因為safe_mode下讀文件的函數被限製成被讀文件的屬主必須
和當前執行腳本的屬主是一樣才能被讀，否則如果錯誤顯示打開的話會顯示諸如以下的錯誤：
Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not
allowed to access /etc/passwd 0ed by uid in /usr/local/apache/htdocs/open.php
on line 3
這樣我們能防止許多系統檔案被讀，例如：/etc/passwd等。
上傳目錄和上傳腳本的屬主也要設成一樣，否則會出現錯誤的，在safe_mode下這些要注意。

6、mysql的啟動權限設定
mysql要注意的是不要用root來啟動，最好另外建一個mysqladm用戶。可以在/etc/rc.local等系統
啟動腳本裡面加上一句：
su mysqladm -c "/usr/local/mysql/share/mysql/mysql.server start"
這樣系統重開機後，也會自動用mysqladmin用戶啟動mysql進程。

7、日誌檔案及上傳目錄的審核及
查看日誌和人的惰性有很大關係，要從那麼大的日誌檔案裡查找攻擊痕跡有些大海撈針，而且也未必有。
web上傳的目錄裡的文件，也應該經常檢查，也許程式有問題，使用者傳上了一些非法的文件，例如執行腳
本等。

8、作業系統本身的修補程式
一樣，給系統打已知漏洞的修補程式是系統管理員最基本的職責，這也是最後一道防線。

經過以上的配置，雖然說不上固若金湯，但是也在相當程度上給攻擊者的測試造成很多麻煩，即使php腳本程
序出現比較嚴重的漏洞，攻擊者也無法造成實際性的破壞。
如果您還有更古怪，更變態的配置方法，希望能一起分享分享；）（出處：viphot）

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

可以在PHP會話中存儲哪些數據？May 02, 2025 am 12:17 AM

phpsessionscanStorestrings，數字，數組和原始物。

您如何開始PHP會話？May 02, 2025 am 12:16 AM

tostartaphpsession，usesesses_start（）attheScript'Sbeginning.1）placeitbeforeanyOutputtosetThesessionCookie.2）useSessionsforuserDatalikeloginstatusorshoppingcarts.3）regenerateSessiveIdStopreventFentfixationAttacks.s.4）考慮使用AttActAcks.s.s.4）

什麼是會話再生，如何提高安全性？May 02, 2025 am 12:15 AM

會話再生是指在用戶進行敏感操作時生成新會話ID並使舊ID失效，以防會話固定攻擊。實現步驟包括：1.檢測敏感操作，2.生成新會話ID，3.銷毀舊會話ID，4.更新用戶端會話信息。

使用PHP會話時有哪些性能考慮？May 02, 2025 am 12:11 AM

PHP会话对应用性能有显著影响。优化方法包括：1.使用数据库存储会话数据，提升响应速度；2.减少会话数据使用，只存储必要信息；3.采用非阻塞会话处理器，提高并发能力；4.调整会话过期时间，平衡用户体验和服务器负担；5.使用持久会话，减少数据读写次数。

PHP會話與Cookie有何不同？May 02, 2025 am 12:03 AM

PHPsessionsareserver-side,whilecookiesareclient-side.1)Sessionsstoredataontheserver,aremoresecure,andhandlelargerdata.2)Cookiesstoredataontheclient,arelesssecure,andlimitedinsize.Usesessionsforsensitivedataandcookiesfornon-sensitive,client-sidedata.

PHP如何識別用戶的會話？May 01, 2025 am 12:23 AM

phpIdentifiesauser'ssessionSessionSessionCookiesAndSessionId.1）whiwsession_start（）被稱為，phpgeneratesainiquesesesessionIdStoredInacookInAcookInAcienamedInAcienamedphpsessIdontheuser'sbrowser'sbrowser.2）thisIdallowSphptpptpptpptpptpptpptpptoretoreteretrieetrieetrieetrieetrieetrieetreetrieetrieetrieetrieetremthafromtheserver。

確保PHP會議的一些最佳實踐是什麼？May 01, 2025 am 12:22 AM

PHP會話的安全可以通過以下措施實現：1.使用session_regenerate_id()在用戶登錄或重要操作時重新生成會話ID。 2.通過HTTPS協議加密傳輸會話ID。 3.使用session_save_path()指定安全目錄存儲會話數據，並正確設置權限。

PHP會話文件默認存儲在哪裡？May 01, 2025 am 12:15 AM

phpsessionFilesArestoredIntheDirectorySpecifiedBysession.save_path，通常是/tmponunix-likesystemsorc：\ windows \ windows \ temponwindows.tocustomizethis：tocustomizEthis：1）useession_save_save_save_path_path（）

See all articles