提升PHP安全:8个必须修改的PHP默认配置


Posted in Javascript onNovember 17, 2014

很明显,PHP+Mysql+Apache是很流行的web技术,这个组合功能强大,可扩展性强,还是免费的。然而,PHP的默认设置对已经上线的网站不是那么适合。下面通过修改默认的配置文件加强PHP的安全策略!

0x01:禁用远程url文件处理功能

像fopen的文件处理函数,接受文件的rul参数(例如:fopen('http://www.yoursite.com','r')).),这个功能可以很轻松的访问远程资源,然而,这是一个很重要的安全威胁,禁用这个功能来限制file function是个不错的选择,在php.ini文件中做如下修改:

allow_url_fopen = Off

0x02:禁用注册全局变量

php在4.2.0以前的版本中,用全局变量作为输入,这个功能叫做register_globals,在web应用中它引起了很多安全问题,因为它允许攻击者在一些情况下很容易的操作全局变量,幸运的是在4.2.0这个功能默认被禁用,它非常的危险,无论在什么情况下都要禁用这个功能。如果某些脚本需要这个功能,那么这个脚本就存在潜在的安全威胁。修改pnp.ini来禁用这个功能:

register_globals = Off

0x03:限制php的读写操作

在很多web开发的过程中,php脚本需要向本地文件系统进行读写操作,比如/var/www/htdocs/files,为了加强安全,你可以修改本地文件的读写权限:

open_basedir = /var/www/htdocs/files

0x04:Posing Limit

限制PHP的执行时间、内存使用量、post和upload的数据是最好的策略,可以做如下的配置:

max_execution_time = 30  ; Max script execution time

max_input_time = 60      ; Max time spent parsing input

memory_limit = 16M       ; Max memory used by one script

upload_max_filesize = 2M ; Max upload file size

post_max_size = 8M       ; Max post size

0x05:禁用错误消息和启用日志功能

在默认设置中,php会向浏览器输出错误消息,在应用程序的开发过程中,这个默认设置是最合理的配置,然而,它也可以向用户泄漏一些安全信息,例如安装路径和用户名。在已经开发完成的网站中,最好禁用错误消息然后把错误消息输出到日志文件中。

display_errors = Off

log_errors = On

0x06:隐藏PHP文件

 如果没有隐藏PHP文件,我们可以通过多种方法获取服务器PHP的版本,例如使用:http://www.example.com/script.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000

显然,我们不希望用户可以直接获取你网站服务器的PHP版本,幸运的是,在php.ini中有个开关可以禁用这个功能:

expose_php = Off

0x07:安全模式配置

在默认的情况下,php可以配置为安全模式,在这种模式下,Apache禁止访问文件、环境变量和二进制程序,在安全模式下,存在的最大问题就是只有文件的所有者才能访问这写PHP文件,如果有很多开发者共同开发这个程序,这样的设置就不切实际,当你需要访问一个PHP文件时就需要修改这个文件的所有者,另外一个问题就是其它程序也不能访问这些PHP文件,下面的配置就可以修改文件的的权限为用户组而不是单个用户。

safe_mode = Off

safe_mode_gid = On

通过启用safe_mode_gid,能够使用Apache的这个群组就能够访问PHP文件。安全模式对阻止二进制文件的执行也非常有效,然而,开发者却希望在某些特定情形下能够运行一些二进制文件。在这些特殊的情形下,可以将二进制文件放进一个目录中,比如(/var/www/binaries),可以做如下设置:

safe_mode_exec_dir = /var/www/binaries

最后,通过下面的设置,可以访问服务器的环境变量,提供一个以”_“分割的前缀,这样只能访问具有规定前缀的环境变量:

safe_mode_allowed_env_vars = PHP_

0x08:限制公共用户对具有特定后缀名的文件的访问

由于安全的原因,很多具有特定后缀名的文件不能被公共用户所访问,比如.inc后缀的文件,里面包含了一些敏感的信息,比如mysql连接信息,如果没有适当的配置,那么每个用户都能访问这个配置文件,为了加强网站的安全,你需要在. .htaccess文件进行如下的配置:

<filesmatch>

  Order allow,deny

  Deny from all

</filesmatch>

0x09:总结

PHP的默认配置是面向开发者的,如果网站面向广大的用户,建议重新配置PHP。

Javascript 相关文章推荐
jQuery 表单验证扩展代码(一)
Oct 11 Javascript
IE、FF、Chrome浏览器中的JS差异介绍
Aug 13 Javascript
jquery中的常用事件bind、hover、toggle等示例介绍
Jul 21 Javascript
jQuery简单实现日历的方法
May 04 Javascript
使用ngView配合AngularJS应用实现动画效果的方法
Jun 19 Javascript
基于jQuery实现搜索关键字自动匹配功能
Mar 26 Javascript
微信小程序 wxapp导航 navigator详解
Oct 31 Javascript
JavaScript输入框字数实时统计更新
Jun 17 Javascript
input type=file 选择图片并且实现预览效果的实例
Oct 26 Javascript
微信小程序拼接图片链接无底洞深入探究
Sep 03 Javascript
微信小程序错误this.setData报错及解决过程
Sep 18 Javascript
vue elementUI 表单校验的实现代码(多层嵌套)
Nov 06 Javascript
详解Javascript 装载和执行
Nov 17 #Javascript
jQuery带箭头提示框tooltips插件集锦
Nov 17 #Javascript
JavaScript实现的内存数据库LokiJS介绍和入门实例
Nov 17 #Javascript
浅谈jQuery异步对象(XMLHttpRequest)
Nov 17 #Javascript
node.js中watch机制详解
Nov 17 #Javascript
z-blog SyntaxHighlighter 长代码无法换行解决办法(jquery)
Nov 16 #Javascript
js构造函数、索引数组和属性的实现方式和使用
Nov 16 #Javascript
You might like
PHP4 与 MySQL 数据库操作函数详解
2006/10/09 PHP
PHP中$GLOBALS与global的区别详解
2019/03/21 PHP
Aptana调试javascript图解教程
2009/11/30 Javascript
JQuery live函数
2010/12/24 Javascript
jquery 回车事件实现代码
2011/08/23 Javascript
js constructor的实际作用分析
2011/11/15 Javascript
js中的this关键字详解
2013/09/25 Javascript
使用JavaScript获取电池状态的方法
2014/05/03 Javascript
node.js入门教程
2014/06/01 Javascript
js窗口关闭提示信息(兼容IE和firefox)
2015/10/23 Javascript
正则表达式替换html元素属性的方法
2016/11/26 Javascript
javascript删除html标签函数cIsHTML
2017/01/09 Javascript
JS获取本周周一,周末及获取任意时间的周一周末功能示例
2017/02/09 Javascript
Angular2.js实现表单验证详解
2017/06/23 Javascript
javascript获取指定区间范围随机数的方法
2017/09/08 Javascript
AngularJS双向数据绑定原理之$watch、$apply和$digest的应用
2018/01/30 Javascript
JS和Canvas实现图片的预览压缩和上传功能
2018/03/30 Javascript
JavaScript中创建原子的方法总结
2018/08/26 Javascript
JS二级菜单不同实现方法分析【4种方法】
2018/12/21 Javascript
JavaScript数组排序小程序实现解析
2020/01/13 Javascript
JS如何定义用字符串拼接的变量
2020/07/11 Javascript
[04:13]2018国际邀请赛典藏宝瓶Ⅱ饰品一览
2018/07/21 DOTA
Python中的多重装饰器
2015/04/11 Python
对tf.reduce_sum tensorflow维度上的操作详解
2018/07/26 Python
Python设计模式之策略模式实例详解
2019/01/21 Python
外贸业务员的岗位职责
2013/11/23 职场文书
初中生期末考试的自我评价
2013/12/17 职场文书
《画家乡》教学反思
2014/04/22 职场文书
中学生励志演讲稿
2014/04/26 职场文书
校园游戏活动新闻稿
2014/10/15 职场文书
2014年学生管理工作总结
2014/12/20 职场文书
2015年护士节慰问信
2015/03/23 职场文书
Ajax请求超时与网络异常处理图文详解
2021/05/23 Javascript
浅谈Python协程asyncio
2021/06/20 Python
JavaScript异步操作中串行和并行
2021/11/20 Javascript
忘记Grafana不要紧2种Grafana重置admin密码方法详细步骤
2022/04/07 Servers