提升PHP安全:8个必须修改的PHP默认配置


Posted in Javascript onNovember 17, 2014

很明显,PHP+Mysql+Apache是很流行的web技术,这个组合功能强大,可扩展性强,还是免费的。然而,PHP的默认设置对已经上线的网站不是那么适合。下面通过修改默认的配置文件加强PHP的安全策略!

0x01:禁用远程url文件处理功能

像fopen的文件处理函数,接受文件的rul参数(例如:fopen('http://www.yoursite.com','r')).),这个功能可以很轻松的访问远程资源,然而,这是一个很重要的安全威胁,禁用这个功能来限制file function是个不错的选择,在php.ini文件中做如下修改:

allow_url_fopen = Off

0x02:禁用注册全局变量

php在4.2.0以前的版本中,用全局变量作为输入,这个功能叫做register_globals,在web应用中它引起了很多安全问题,因为它允许攻击者在一些情况下很容易的操作全局变量,幸运的是在4.2.0这个功能默认被禁用,它非常的危险,无论在什么情况下都要禁用这个功能。如果某些脚本需要这个功能,那么这个脚本就存在潜在的安全威胁。修改pnp.ini来禁用这个功能:

register_globals = Off

0x03:限制php的读写操作

在很多web开发的过程中,php脚本需要向本地文件系统进行读写操作,比如/var/www/htdocs/files,为了加强安全,你可以修改本地文件的读写权限:

open_basedir = /var/www/htdocs/files

0x04:Posing Limit

限制PHP的执行时间、内存使用量、post和upload的数据是最好的策略,可以做如下的配置:

max_execution_time = 30  ; Max script execution time

max_input_time = 60      ; Max time spent parsing input

memory_limit = 16M       ; Max memory used by one script

upload_max_filesize = 2M ; Max upload file size

post_max_size = 8M       ; Max post size

0x05:禁用错误消息和启用日志功能

在默认设置中,php会向浏览器输出错误消息,在应用程序的开发过程中,这个默认设置是最合理的配置,然而,它也可以向用户泄漏一些安全信息,例如安装路径和用户名。在已经开发完成的网站中,最好禁用错误消息然后把错误消息输出到日志文件中。

display_errors = Off

log_errors = On

0x06:隐藏PHP文件

 如果没有隐藏PHP文件,我们可以通过多种方法获取服务器PHP的版本,例如使用:http://www.example.com/script.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000

显然,我们不希望用户可以直接获取你网站服务器的PHP版本,幸运的是,在php.ini中有个开关可以禁用这个功能:

expose_php = Off

0x07:安全模式配置

在默认的情况下,php可以配置为安全模式,在这种模式下,Apache禁止访问文件、环境变量和二进制程序,在安全模式下,存在的最大问题就是只有文件的所有者才能访问这写PHP文件,如果有很多开发者共同开发这个程序,这样的设置就不切实际,当你需要访问一个PHP文件时就需要修改这个文件的所有者,另外一个问题就是其它程序也不能访问这些PHP文件,下面的配置就可以修改文件的的权限为用户组而不是单个用户。

safe_mode = Off

safe_mode_gid = On

通过启用safe_mode_gid,能够使用Apache的这个群组就能够访问PHP文件。安全模式对阻止二进制文件的执行也非常有效,然而,开发者却希望在某些特定情形下能够运行一些二进制文件。在这些特殊的情形下,可以将二进制文件放进一个目录中,比如(/var/www/binaries),可以做如下设置:

safe_mode_exec_dir = /var/www/binaries

最后,通过下面的设置,可以访问服务器的环境变量,提供一个以”_“分割的前缀,这样只能访问具有规定前缀的环境变量:

safe_mode_allowed_env_vars = PHP_

0x08:限制公共用户对具有特定后缀名的文件的访问

由于安全的原因,很多具有特定后缀名的文件不能被公共用户所访问,比如.inc后缀的文件,里面包含了一些敏感的信息,比如mysql连接信息,如果没有适当的配置,那么每个用户都能访问这个配置文件,为了加强网站的安全,你需要在. .htaccess文件进行如下的配置:

<filesmatch>

  Order allow,deny

  Deny from all

</filesmatch>

0x09:总结

PHP的默认配置是面向开发者的,如果网站面向广大的用户,建议重新配置PHP。

Javascript 相关文章推荐
Extjs ajax同步请求时post方式参数发送方式
Aug 05 Javascript
JavaScript词法作用域与调用对象深入理解
Nov 29 Javascript
JavaScript实现信用卡校验方法
Apr 07 Javascript
js实现同一个页面多个渐变效果的方法
Apr 10 Javascript
关于vue.js弹窗组件的知识点总结
Sep 11 Javascript
JS类的定义与使用方法深入探索
Nov 26 Javascript
JavaScript数组操作详解
Feb 04 Javascript
轻松玩转BootstrapTable(后端使用SpringMVC+Hibernate)
Sep 06 Javascript
详解Immutable及 React 中实践
Mar 01 Javascript
react脚手架如何配置less和ant按需加载的方法步骤
Nov 28 Javascript
微信小程序登录按钮遮罩浮层效果的实现方法
Dec 16 Javascript
vue跳转方式(打开新页面)及传参操作示例
Jan 26 Javascript
详解Javascript 装载和执行
Nov 17 #Javascript
jQuery带箭头提示框tooltips插件集锦
Nov 17 #Javascript
JavaScript实现的内存数据库LokiJS介绍和入门实例
Nov 17 #Javascript
浅谈jQuery异步对象(XMLHttpRequest)
Nov 17 #Javascript
node.js中watch机制详解
Nov 17 #Javascript
z-blog SyntaxHighlighter 长代码无法换行解决办法(jquery)
Nov 16 #Javascript
js构造函数、索引数组和属性的实现方式和使用
Nov 16 #Javascript
You might like
ExtJS与PHP、MySQL实现存储的方法
2010/04/02 PHP
php权重计算方法代码分享
2014/01/09 PHP
PHP 字符串长度判断效率更高的方法
2014/03/02 PHP
php实现随机生成易于记忆的密码
2015/06/19 PHP
最新制作ThinkPHP3.2.3完全开发手册
2015/11/23 PHP
PHP中的表达式简述
2016/05/29 PHP
PHP命名空间namespace用法实例分析
2016/09/27 PHP
php实现生成PDF文件的方法示例【基于FPDF类库】
2018/07/21 PHP
用js实现的仿sohu博客更换页面风格(简单版)
2007/03/22 Javascript
简述AngularJS的控制器的使用
2015/06/16 Javascript
JS实现的不规则TAB选项卡效果代码
2015/09/18 Javascript
vuejs动态组件给子组件传递数据的方法详解
2016/09/09 Javascript
利用node.js搭建简单web服务器的方法教程
2017/02/20 Javascript
JavaScript实现简单的星星评分效果
2017/05/18 Javascript
ionic grid(栅格)九宫格制作详解
2018/06/30 Javascript
javascript中toFixed()四舍五入使用方法详解
2018/09/28 Javascript
Vue关于组件化开发知识点详解
2020/05/13 Javascript
[07:48]DOTA2上海特级锦标赛主赛事首日RECAP
2016/03/04 DOTA
[01:01:35]Optic vs paiN 2018国际邀请赛小组赛BO2 第二场 8.19
2018/08/21 DOTA
numpy返回array中元素的index方法
2018/06/27 Python
python安装scipy的方法步骤
2019/06/26 Python
python SVM 线性分类模型的实现
2019/07/19 Python
Django Rest framework解析器和渲染器详解
2019/07/25 Python
python如何保证输入键入数字的方法
2019/08/23 Python
Python3并发写文件与Python对比
2019/11/20 Python
浅谈keras的深度模型训练过程及结果记录方式
2020/01/24 Python
PyQt5连接MySQL及QMYSQL driver not loaded错误解决
2020/04/29 Python
pycharm sciview的图片另存为操作
2020/06/01 Python
python3中TQDM库安装及使用详解
2020/11/18 Python
学前教育教师求职自荐信
2013/09/22 职场文书
小学生读书笔记
2015/07/01 职场文书
Python 用户输入和while循环的操作
2021/05/23 Python
关于nginx 实现jira反向代理的问题
2021/09/25 Servers
C3 线性化算法与 MRO之Python中的多继承
2021/10/05 Python
Python+OpenCV实现图片中的圆形检测
2022/04/07 Python
MySQL一劳永逸永久支持输入中文的方法实例
2022/08/05 MySQL