php安全

最新推荐文章于 2024-08-29 14:28:28 发布
最新推荐文章于 2024-08-29 14:28:28 发布
阅读量221 收藏
点赞数
分类专栏: 安全 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oHeiZhiShi123/article/details/100007205
版权

一、php.ini配置

1、
disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,
ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,
stream_socket_server,fsocket,phpinfo #禁用的函数
2、
expose_php = off            #避免暴露PHP信息
3、
display_errors = off        #关闭错误信息提示
4、
register_globals = off      #关闭全局变量
5、
enable_dl = off             #禁止动态加载链接库
6、
allow_url_include = off     #避免远程调用文件
7、
allow_url_fopen = Off       #禁用打开远程url

以下方法将无法获取远程url内容
$data = file_get_contents("http://www.baidu.com/");
以下方法可以获取本地文件内容
$data = file_get_contents("1.txt");
8、
session.cookie_httponly = 1 #http only开启,防止xss攻击,禁止客户端获取cookie信息
9、
upload_tmp_dir = /tmp       #明确定义upload目录
【window】
upload_tmp_dir = C:\windows\temp
10、
[HOST=www.baidu.com]
open_basedir=/home/wwwroot/www.baidu.com/:/proc/:/tmp/   #限制用户访问的目录
[PATH=/home/wwwroot/www.iamle.com/]
open_basedir=/home/wwwroot/www.baidu.com/:/proc/:/tmp/
【window】
open_basedir = "D:/phpStudy/PHPTutorial/tmp/tmp/;E:/WWW/;C:/WINDOWS/Temp/;"

HOST和PATH 任选一个就行
注意:目录最后一定要加上/. 比如你写/tmp,你的站点同时存在/tmp123等等以/tmp开头的目
录,那么黑客也可以访问到这些目录,另外, php5.3以上支持这个写法,5.2不支持。

关于open_basedir的其他地方
#在php-fpm.conf对应的pool池中行尾配置
php_admin_value[open_basedir]=/home/wwwroot/:/proc/:/tmp/
 
#在nginx fastcgi fastcgi_param配置
#这里用$document_root是一种取巧的方法,也可以设置绝对路径
# set php open_basedir
fastcgi_param PHP_ADMIN_VALUE "open_basedir=$document_root/:/tmp/:/proc/";

二、php用户只读

目录权限为755,文件权限为644,上传目录777

三、上传分离

将文件上传到远程服务器,例如nfs等。即使有上传漏洞,那么文件也被传到了静态服务器上,木马等文件根本无法执行

啦啦啦lir
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP安全之道学习笔记
李维山的博客
04-18 4806
不仅在php项目中,在所有网络应用的开发过程中,都会面临着各种各样的安全问题,有些可能是应用软件自身所暴露的安全隐患,也有些是开发人员自身编程原因导致的程序漏洞,这些无疑会对应用的安全性和稳定性造成不良的影响,作为开发人员,应该具备一定的安全防范知识,在开发过程中不断完善安全机制,加固应用程序的运行环境。 下面为php开发中的一些安全防范手段,开发语言不尽相同,但有一些思想同样适用。 1、屏蔽PHP错误信息 在php.ini中设置: ; display_errors ; Default V
史上最全的Linux PHP环境部署与项目上线
Jokenzhang
09-02 7014
史上最全的Linux PHP环境部署与项目上线 一、项目上线部署 1、前言 要想部署环境上线项目,先具备以下条件:服务器(ip**、帐号密码、终端)、相应的软件、域名(**备案[DY1] 、解析)、代码等。 服务器、域名购买,以阿里云为例:http://www.aliyun.com 首先登录控制台,获取需要连接的主机ip地址: 获取到用于连接的公网IP后,即可使用远程终端工具连接上待操作上线的服...
巧用PHP双$功能兼容线上线下配置文件
weixin_33759269的博客
02-08 114
2014年2月8日 19:27:05 情景: 开发过程中线上和线下的配置文件中的值是不一样的 例如:线上生产环境的样式域名为ie.style.abc.com,而开发环境为ie.style.abc.net 此时有两种方案: 一种是将所有以com顶级域名结尾的变量写一份配置文件,以.net结尾的变量写在另一份文件中,在调用的时候根据环境不同而调用不同的文件 缺点: 1.文件加载类设计复杂...
PHP安全 [安全编码]
weixin_45253622的博客
05-26 7780
总则: 绝对安全的系统是不存在的。最好的安全机制应该能在不防碍用户,并且不过多地增加开发难度的情况下做到能满足需求。 木桶原理,一个系统的的强度是由它最薄弱的环节决定的。 安全编码细则: 所有输入的数据都是有害的(直接或者间接由用户输入的) 不依赖运行环境的安全配置 安全控制措施落实在最后执行阶段 最小化 失败终止 文件系统安全 源码: <?php //从用户目录中删除指定的文件 $username = $_POST['user_submitted_name']; $us.
常见的PHP安全防范
阳水平的博客
05-23 3660
PHP本身再老版本有一些问题,比如在 `php4.3.10`和`php5.0.3`以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的`SQL Injection`也是在PHP上有很多利用方式,所以要保证安全PHP代码编写是一方面,PHP的配置更是非常关键。   我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最
网络安全-php安全知识点
关注网络安全、云原生安全
10-09 1万+
目录 语法与注释 变量 输出 超级全局常量 函数 常用 数据库相关 mysqli pdo 写给和我一样没学过php安全小白,只是为了让你看懂php代码,专门学后端的请出门左转。学安全需要学的东西太多,你不可能把js学的和做前端的同学一样好、把php学的和做后端的一样好,把数据库学的和做数据库优化的同学一样好,把Apache学的和做服务器端的同学一样好,我们只能关注他们涉及的领域中不安全的因素,找到漏洞,提出修改意见。 php是后端常用的语言,在靶机或CTF比赛中也需要进行php代码审
php 漏洞 怎么解决,php安全漏洞怎么修复?
weixin_39869693的博客
03-09 3860
该楼层疑似违规已被系统折叠隐藏此楼查看此楼PHP PHAR扩展安全漏洞(CVE-2016-4072)PHPphp_filter_encode_url’函数整数溢出漏洞(CVE-2016-4345)PHP ‘str_pad’函数整数溢出漏洞(CVE-2016-4346)PHP‘wddx_stack_destroy’函数释放后重用漏洞(CVE-2016-7413)PHP Calendar...
网络安全-自学笔记
热门推荐
关注网络安全、云原生安全
12-01 17万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
十大PHP安全要点
黑白相间...
11-26 3260
转载:https://blog.csdn.net/luyaran/article/details/78132340 PHP是使用最广泛的脚本编程语言之一。市场份额颇能说明其主导地位。PHP 7已推出,这个事实让这种编程语言对当前的开发人员来说更具吸引力。尽管出现了一些变化,但是许多开发人员对PHP的未来持怀...
php为什么不安全
zepcjsj0801的博客
02-19 4114
最近遇到两位客户,说了一个让我有点怀疑人生的问题:php安全 我做php十年,这个问题从我开始接触php就听说了,但是一直没当回事。 我的大学专业是.net,毕业后从事的工作就是开发,但是.net的开发以及调试、修改bug的过程很让人捉急,也很可能是当时水平不够造成的。 偶尔一次项目接触了php,确切的说是接触了thinkphp,其他语言的项目在php面前显得过于臃肿和繁琐,然后对php就一发不可收拾。 直到最近两个体量比较大的客户问了这个问题,在我拼命解释原因之后不得不回忆我解释的是否显得更加欲盖弥彰。
2021-09-13 网安实验-PHP安全特性(变量覆盖漏洞)
时光隧道
09-13 4万+
全局变量覆盖 在register_globals=On的情况下,变量的来源可能是各个不同的地方,比如页面的表单、Cookie等。针对于我们本次实验的代码(register_globals.php),我们可以通过下面这种方式进行变量覆盖: 可见,我们的代码中并没有接收变量a并对其赋值的操作,但是我们通过GET方式直接传参之后,我们的代码中就有了$a这个变量,且可以直接调用。那么想像一下,这样一来,如果你知道目标网站中某个变量的名称,是不是就可以这样来修改该变量的值,从而影响代码的运算。 extract()
php安全新闻早八点-高级持续渗透-第二季关于后门补充一
Micropoor
12-25 2999
文章转载于:https://micropoor.blogspot.hk/2017/12/php_24.html 这次继续围绕第一篇,第一季关于后门:https://micropoor.blogspot.hk/2017/12/php.html 做整理与补充。在深入一步细化demo notepad++。 后门是渗透测试的分水岭,它分别体现了攻击者对目标机器的熟知程度,环境,编程语言,了
2021-09-13 网安实验-PHP安全特性(伪协议)
时光隧道
09-02 4万+
一:PHP支持的协议 二:协议的使用 file协议:读取file:///etc/passwd,如下图: 如果需要读取php这种代码文件直接访问是不行需要进行编码后才行 1. php://stdin, php://stdout 和 php://stderr 2. php://input 3. php://output 4. php://fd 5. php://memory 和 php://temp 6. php://filter 以php://filter使用介绍 ...
运维安全·Web组件安全·PHP
不忘初心,护天下安全!
04-11 1595
一、PHP PHPPHP: Hypertext Preprocessor)即“超文本预处理器”,是在服务器端执行的脚本语言,尤其适用于Web开发并可嵌入HTML中。PHP语法学习了C语言,吸纳Java和Perl多个语言的特色发展出自己的特色语法,并根据它们的长项持续改进提升自己,例如java的面向对象编程,该语言当初创建的主要目标是让开发人员快速编写出优质的web网站。PHP同时支持面向对象和面向过程的开发,使用上非常灵活。 二、安全配置 以PHP 7.4w为例,介绍一下PHP常见的安全配置(以下设置均在
php安全】eval的禁止【原创】
一直加班的程序猿
05-12 1万+
前段时间,网站遭受了黑客的入侵,后来在排查中发现了一个php,里面的内容只有很少: 然后网上搜索一下php的eval函数,发现这个eval函数带有很大的安全隐患。 本地测试一下,在本地环境写一个php,内容如下: default.php: 然后访问一下:localhost/test/default.php?asda=phpinfo(); 就
使用 树莓派3B+ 对日本葡萄园进行经济实惠的环境监测
最新发布
EDATEC的博客
08-29 819
然而,他也热衷于酿造 “优质葡萄酒”,随着他所居住的东京北部胜沼地区葡萄酒旅游业的兴起,他感觉到了商机。菊岛热衷于在他所谓的 “Hinno ”物联网系统中使用太阳能,日语中的 “Hinno ”表明这是一种简单的农民葡萄栽培方法,因为太阳能还可以用来为电栅栏供电,防止动物靠近作物。他还可以在办公室里随时观察大气状况。对于 菊岛邦夫—Vineyard Kikushima 而言,Raspberry Pi 生态系统提供了支持和信息,通过基于温度和湿度监测的有针对性的最低限度杀虫剂方案,来提高葡萄的健康产量。
Nginx的lnmp服务搭建
2201_75745826的博客
08-29 744
nginx是一款功能强大的web服务器。和apache一样,有http和https两个服务。nginx功能强大,且库使用第三方模块,正反向代理等。Nginx默认采用多进程工作方式,Nginx启动后,会运行一个master进程和多个worker进程。其中master充当整个进程组与用户的交互接口,同时对进程进行监护,管理worker进程来实现重启服务、平滑升级、更换日志文件、配置文件实时生效等功能。worker用来处理基本的网络事件,worker之间是平等的,他们共同竞争来处理来自客户端的请求。
【Linux篇】网络请求和下载与端口
2301_80912559的博客
08-26 1175
如图,计算机A的微信连接计算机B的微信,A使用的50001即动态端口,临时找一个端口作为出口。计算机B的微信使用端口5678,即注册端口,长期绑定此端口等待别人连接。在win系统中,可以通过任务管理器选择进程后,点击结束进程从而关闭。IP地址相当于小区地址,在小区内可以有很多住户(程序)而门牌号(端口)就是各个住户(程序)的联系地址。为管理运行的程序,每一个程序在运行的时候,便被操作系统注册为系统中的一个进程。计算机程序之间的通讯,通过IP只能锁定计算机,但是无法锁定具体的程序。
第三章 封装与继承
weixin_65279640的博客
08-28 1085
面向对象三大特征之一 ——封装概念:将类的某些信息隐藏在类内部,不允许外部程序直接访问,而是通过该类提供的方法来实现对隐藏信息的操作和访问把尽可能多的东西藏起来,对外提供便捷的接口。说白了就是把对象中的属性信息封装在对象类内部,不让用户直接使用类属性进行访问,而是定义一个方法作为类属性的接口提供给用户访问使用。封装的两个大致原则把所有的属性藏起来把尽可能多的东西藏起来,对外提供便捷的接口。
PHP安全编程:抵御网络攻击
"PHP安全基础,包括常见的网络攻击手段和防御措施,主要针对PHP语言的安全问题进行探讨,适合网络开发人员学习以提升应用安全性。" 在《PHP安全基础》一书中,作者强调了随着PHP成为主流的网络编程语言,安全性成为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值