提升PHP安全:8个必须修改的PHP默认配置


Posted in Javascript onNovember 17, 2014

很明显,PHP+Mysql+Apache是很流行的web技术,这个组合功能强大,可扩展性强,还是免费的。然而,PHP的默认设置对已经上线的网站不是那么适合。下面通过修改默认的配置文件加强PHP的安全策略!

0x01:禁用远程url文件处理功能

像fopen的文件处理函数,接受文件的rul参数(例如:fopen('http://www.yoursite.com','r')).),这个功能可以很轻松的访问远程资源,然而,这是一个很重要的安全威胁,禁用这个功能来限制file function是个不错的选择,在php.ini文件中做如下修改:

allow_url_fopen = Off

0x02:禁用注册全局变量

php在4.2.0以前的版本中,用全局变量作为输入,这个功能叫做register_globals,在web应用中它引起了很多安全问题,因为它允许攻击者在一些情况下很容易的操作全局变量,幸运的是在4.2.0这个功能默认被禁用,它非常的危险,无论在什么情况下都要禁用这个功能。如果某些脚本需要这个功能,那么这个脚本就存在潜在的安全威胁。修改pnp.ini来禁用这个功能:

register_globals = Off

0x03:限制php的读写操作

在很多web开发的过程中,php脚本需要向本地文件系统进行读写操作,比如/var/www/htdocs/files,为了加强安全,你可以修改本地文件的读写权限:

open_basedir = /var/www/htdocs/files

0x04:Posing Limit

限制PHP的执行时间、内存使用量、post和upload的数据是最好的策略,可以做如下的配置:

max_execution_time = 30  ; Max script execution time

max_input_time = 60      ; Max time spent parsing input

memory_limit = 16M       ; Max memory used by one script

upload_max_filesize = 2M ; Max upload file size

post_max_size = 8M       ; Max post size

0x05:禁用错误消息和启用日志功能

在默认设置中,php会向浏览器输出错误消息,在应用程序的开发过程中,这个默认设置是最合理的配置,然而,它也可以向用户泄漏一些安全信息,例如安装路径和用户名。在已经开发完成的网站中,最好禁用错误消息然后把错误消息输出到日志文件中。

display_errors = Off

log_errors = On

0x06:隐藏PHP文件

 如果没有隐藏PHP文件,我们可以通过多种方法获取服务器PHP的版本,例如使用:http://www.example.com/script.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000

显然,我们不希望用户可以直接获取你网站服务器的PHP版本,幸运的是,在php.ini中有个开关可以禁用这个功能:

expose_php = Off

0x07:安全模式配置

在默认的情况下,php可以配置为安全模式,在这种模式下,Apache禁止访问文件、环境变量和二进制程序,在安全模式下,存在的最大问题就是只有文件的所有者才能访问这写PHP文件,如果有很多开发者共同开发这个程序,这样的设置就不切实际,当你需要访问一个PHP文件时就需要修改这个文件的所有者,另外一个问题就是其它程序也不能访问这些PHP文件,下面的配置就可以修改文件的的权限为用户组而不是单个用户。

safe_mode = Off

safe_mode_gid = On

通过启用safe_mode_gid,能够使用Apache的这个群组就能够访问PHP文件。安全模式对阻止二进制文件的执行也非常有效,然而,开发者却希望在某些特定情形下能够运行一些二进制文件。在这些特殊的情形下,可以将二进制文件放进一个目录中,比如(/var/www/binaries),可以做如下设置:

safe_mode_exec_dir = /var/www/binaries

最后,通过下面的设置,可以访问服务器的环境变量,提供一个以”_“分割的前缀,这样只能访问具有规定前缀的环境变量:

safe_mode_allowed_env_vars = PHP_

0x08:限制公共用户对具有特定后缀名的文件的访问

由于安全的原因,很多具有特定后缀名的文件不能被公共用户所访问,比如.inc后缀的文件,里面包含了一些敏感的信息,比如mysql连接信息,如果没有适当的配置,那么每个用户都能访问这个配置文件,为了加强网站的安全,你需要在. .htaccess文件进行如下的配置:

<filesmatch>

  Order allow,deny

  Deny from all

</filesmatch>

0x09:总结

PHP的默认配置是面向开发者的,如果网站面向广大的用户,建议重新配置PHP。

Javascript 相关文章推荐
Js之软键盘实现(js源码)
Jan 30 Javascript
js计算页面刷新的次数
Jul 20 Javascript
JQuery-tableDnD 拖拽的基本使用介绍
Jul 04 Javascript
Ext JS 4实现带week(星期)的日期选择控件(实战二)
Aug 21 Javascript
Javascript中的String对象详谈
Mar 03 Javascript
JS替换字符串中空格方法
Apr 17 Javascript
详细分析Javascript中创建对象的四种方式
Aug 17 Javascript
BootStrap实现带关闭按钮功能
Feb 15 Javascript
react实现pure render时bind(this)隐患需注意!
Mar 09 Javascript
JSON在Javascript中的使用(eval和JSON.parse的区别)详细解析
Sep 05 Javascript
Vue下滚动到页面底部无限加载数据的示例代码
Apr 22 Javascript
如何利用 JS 脚本实现网页全自动秒杀抢购功能
Oct 12 Javascript
详解Javascript 装载和执行
Nov 17 #Javascript
jQuery带箭头提示框tooltips插件集锦
Nov 17 #Javascript
JavaScript实现的内存数据库LokiJS介绍和入门实例
Nov 17 #Javascript
浅谈jQuery异步对象(XMLHttpRequest)
Nov 17 #Javascript
node.js中watch机制详解
Nov 17 #Javascript
z-blog SyntaxHighlighter 长代码无法换行解决办法(jquery)
Nov 16 #Javascript
js构造函数、索引数组和属性的实现方式和使用
Nov 16 #Javascript
You might like
php使用ffmpeg获取视频信息并截图的实现方法
2016/05/03 PHP
PHP使用ActiveMQ实现消息队列的方法详解
2019/05/31 PHP
TP5框架实现签到功能的方法分析
2020/04/05 PHP
通过jquery实现tab标签浏览效果
2007/02/20 Javascript
javascript 尚未实现错误解决办法
2008/11/27 Javascript
js操作二级联动实现代码
2010/07/27 Javascript
两种常用的javascript数组去重方法思路及代码
2013/03/26 Javascript
学习JavaScript编程语言的8张思维导图分享
2015/03/27 Javascript
基于insertBefore制作简单的循环插空效果
2015/09/21 Javascript
JS+CSS实现的漂亮渐变背景特效代码(6个渐变效果)
2016/03/25 Javascript
js提示框替代系统alert,自动关闭alert对话框的实现方法
2016/11/07 Javascript
jQuery实现表格奇偶行显示不同背景色 就这么简单
2017/03/13 Javascript
Vue Spa切换页面时更改标题的实例代码
2017/07/15 Javascript
AngularJS中的路由使用及实现代码
2017/10/09 Javascript
解决layui中onchange失效以及form动态渲染失效的问题
2019/09/27 Javascript
js数组相减简单示例【删除a数组所有与b数组相同元素】
2020/03/04 Javascript
js实现简单的贪吃蛇游戏
2020/04/23 Javascript
解决vue prop传值default属性如何使用,为何不生效的问题
2020/09/21 Javascript
Python模块搜索概念介绍及模块安装方法介绍
2015/06/03 Python
django中静态文件配置static的方法
2018/05/20 Python
python 图像平移和旋转的实例
2019/01/10 Python
Python识别快递条形码及Tesseract-OCR使用详解
2019/07/15 Python
通过实例学习Python Excel操作
2020/01/06 Python
Python进程Multiprocessing模块原理解析
2020/02/28 Python
Python实现汇率转换操作
2020/05/03 Python
Douglas意大利官网:购买香水和化妆品
2020/05/27 全球购物
会计专业自荐信
2013/12/02 职场文书
构建高效课堂实施方案
2014/03/13 职场文书
经典演讲稿开场白
2014/08/25 职场文书
2015年春节标语口号
2014/12/09 职场文书
参观邀请函范文
2015/02/02 职场文书
文明礼貌主题班会
2015/08/14 职场文书
2016入党积极分子考察评语
2015/12/01 职场文书
《巨人的花园》教学反思
2016/02/19 职场文书
施工安全协议书
2016/03/22 职场文书
入团申请书格式
2019/06/20 职场文书