提升PHP安全:8个必须修改的PHP默认配置


Posted in Javascript onNovember 17, 2014

很明显,PHP+Mysql+Apache是很流行的web技术,这个组合功能强大,可扩展性强,还是免费的。然而,PHP的默认设置对已经上线的网站不是那么适合。下面通过修改默认的配置文件加强PHP的安全策略!

0x01:禁用远程url文件处理功能

像fopen的文件处理函数,接受文件的rul参数(例如:fopen('http://www.yoursite.com','r')).),这个功能可以很轻松的访问远程资源,然而,这是一个很重要的安全威胁,禁用这个功能来限制file function是个不错的选择,在php.ini文件中做如下修改:

allow_url_fopen = Off

0x02:禁用注册全局变量

php在4.2.0以前的版本中,用全局变量作为输入,这个功能叫做register_globals,在web应用中它引起了很多安全问题,因为它允许攻击者在一些情况下很容易的操作全局变量,幸运的是在4.2.0这个功能默认被禁用,它非常的危险,无论在什么情况下都要禁用这个功能。如果某些脚本需要这个功能,那么这个脚本就存在潜在的安全威胁。修改pnp.ini来禁用这个功能:

register_globals = Off

0x03:限制php的读写操作

在很多web开发的过程中,php脚本需要向本地文件系统进行读写操作,比如/var/www/htdocs/files,为了加强安全,你可以修改本地文件的读写权限:

open_basedir = /var/www/htdocs/files

0x04:Posing Limit

限制PHP的执行时间、内存使用量、post和upload的数据是最好的策略,可以做如下的配置:

max_execution_time = 30  ; Max script execution time

max_input_time = 60      ; Max time spent parsing input

memory_limit = 16M       ; Max memory used by one script

upload_max_filesize = 2M ; Max upload file size

post_max_size = 8M       ; Max post size

0x05:禁用错误消息和启用日志功能

在默认设置中,php会向浏览器输出错误消息,在应用程序的开发过程中,这个默认设置是最合理的配置,然而,它也可以向用户泄漏一些安全信息,例如安装路径和用户名。在已经开发完成的网站中,最好禁用错误消息然后把错误消息输出到日志文件中。

display_errors = Off

log_errors = On

0x06:隐藏PHP文件

 如果没有隐藏PHP文件,我们可以通过多种方法获取服务器PHP的版本,例如使用:http://www.example.com/script.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000

显然,我们不希望用户可以直接获取你网站服务器的PHP版本,幸运的是,在php.ini中有个开关可以禁用这个功能:

expose_php = Off

0x07:安全模式配置

在默认的情况下,php可以配置为安全模式,在这种模式下,Apache禁止访问文件、环境变量和二进制程序,在安全模式下,存在的最大问题就是只有文件的所有者才能访问这写PHP文件,如果有很多开发者共同开发这个程序,这样的设置就不切实际,当你需要访问一个PHP文件时就需要修改这个文件的所有者,另外一个问题就是其它程序也不能访问这些PHP文件,下面的配置就可以修改文件的的权限为用户组而不是单个用户。

safe_mode = Off

safe_mode_gid = On

通过启用safe_mode_gid,能够使用Apache的这个群组就能够访问PHP文件。安全模式对阻止二进制文件的执行也非常有效,然而,开发者却希望在某些特定情形下能够运行一些二进制文件。在这些特殊的情形下,可以将二进制文件放进一个目录中,比如(/var/www/binaries),可以做如下设置:

safe_mode_exec_dir = /var/www/binaries

最后,通过下面的设置,可以访问服务器的环境变量,提供一个以”_“分割的前缀,这样只能访问具有规定前缀的环境变量:

safe_mode_allowed_env_vars = PHP_

0x08:限制公共用户对具有特定后缀名的文件的访问

由于安全的原因,很多具有特定后缀名的文件不能被公共用户所访问,比如.inc后缀的文件,里面包含了一些敏感的信息,比如mysql连接信息,如果没有适当的配置,那么每个用户都能访问这个配置文件,为了加强网站的安全,你需要在. .htaccess文件进行如下的配置:

<filesmatch>

  Order allow,deny

  Deny from all

</filesmatch>

0x09:总结

PHP的默认配置是面向开发者的,如果网站面向广大的用户,建议重新配置PHP。

Javascript 相关文章推荐
JavaScript 学习笔记二 字符串拼接
Mar 28 Javascript
JavaScript 一行代码,轻松搞定浮动快捷留言-V2升级版
Apr 02 Javascript
JS格式化数字金额用逗号隔开保留两位小数
Oct 18 Javascript
jquery dataview数据视图插件使用方法
Dec 23 Javascript
详解vue-router和vue-cli以及组件之间的传值
Jul 04 Javascript
利用Angular2 + Ionic3开发IOS应用实例教程
Jan 15 Javascript
vue小白入门教程
Apr 02 Javascript
为什么要使用Vuex的介绍
Jan 19 Javascript
javascript中floor使用方法总结
Feb 02 Javascript
一文看懂如何简单实现节流函数和防抖函数
Sep 05 Javascript
AngularJS动态生成select下拉框的方法实例
Nov 17 Javascript
工作中常用js功能汇总
Nov 07 Javascript
详解Javascript 装载和执行
Nov 17 #Javascript
jQuery带箭头提示框tooltips插件集锦
Nov 17 #Javascript
JavaScript实现的内存数据库LokiJS介绍和入门实例
Nov 17 #Javascript
浅谈jQuery异步对象(XMLHttpRequest)
Nov 17 #Javascript
node.js中watch机制详解
Nov 17 #Javascript
z-blog SyntaxHighlighter 长代码无法换行解决办法(jquery)
Nov 16 #Javascript
js构造函数、索引数组和属性的实现方式和使用
Nov 16 #Javascript
You might like
php中文验证码实现示例分享
2014/01/12 PHP
PHP5.3与5.5废弃与过期函数整理汇总
2014/07/10 PHP
php实现在多维数组中查找特定value的方法
2015/07/29 PHP
[原创]php使用curl判断网页404(不存在)的方法
2016/06/23 PHP
解决php 处理 form 表单提交多个 name 属性值相同的 input 标签问题
2017/05/11 PHP
PHP面向对象之领域模型+数据映射器实例(分析)
2017/06/21 PHP
laravel框架路由分组,中间件,命名空间,子域名,路由前缀实例分析
2020/02/18 PHP
PHP实现Snowflake生成分布式唯一ID的方法示例
2020/08/30 PHP
window.open不被拦截的实现代码
2012/08/22 Javascript
jquery实现简单易懂的图片展示小例子
2013/11/21 Javascript
bootstrap datetimepicker2.3.11时间插件使用
2016/11/19 Javascript
js实现弹窗暗层效果
2017/01/16 Javascript
Bootstarp 基础教程之表单部分实例代码
2017/02/03 Javascript
jQuery序列化后的表单值转换成Json
2017/06/16 jQuery
vue jsx 使用指南及vue.js 使用jsx语法的方法
2017/11/11 Javascript
NodeJs操作MongoDB教程之分页功能以及常见问题
2019/04/09 NodeJs
Fetch超时设置与终止请求详解
2019/05/18 Javascript
IE浏览器下JS脚本提交表单后,不能自动提示问题解决方法
2019/06/04 Javascript
vue使用codemirror的两种用法
2019/08/27 Javascript
使用vue cli4.x搭建vue项目的过程详解
2020/05/08 Javascript
vue实现商品列表的添加删除实例讲解
2020/05/14 Javascript
jquery实现鼠标悬浮弹出气泡提示框
2020/12/23 jQuery
python赋值操作方法分享
2013/03/23 Python
Python3.0与2.X版本的区别实例分析
2014/08/25 Python
Python内置函数Type()函数一个有趣的用法
2015/02/18 Python
python3 selenium自动化 下拉框定位的例子
2019/08/23 Python
python判断无向图环是否存在的示例
2019/11/22 Python
python调用私有属性的方法总结
2020/07/24 Python
阿迪达斯中国官网:Adidas中国
2020/12/14 全球购物
化工机械应届生求职信
2013/11/04 职场文书
法警的竞聘演讲稿
2014/01/02 职场文书
食品安全宣传标语
2014/06/07 职场文书
2014乡镇领导班子四风对照检查材料思想汇报
2014/10/05 职场文书
详解MySQL InnoDB存储引擎的内存管理
2021/04/08 MySQL
台积电称即便经济低迷也没有降价的计划
2022/04/21 数码科技
python和Appium的移动端多设备自动化测试框架
2022/04/26 Python