介绍
PHP目前的网站也比较多,安全问题也变得更为重要,php环境提供的安全模式是个非常重要的内嵌的安全机制,下面讲解如何使用php的安全功能来保护网站的安全性
启用php的安全模式
safe_mode(PHP安全模式在5.4的时候已经不再支持)
是否启用 PHP 的安全模式。php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd,但是默认的php.ini是没有打开安全模式的,我们把它打开:
safe_mode = on(默认是off状态)
在php5.6中搜索safe_mode的话会出现sql.safe_mode,这个是关于sql的安全模式,开启后则MySQL和Ingres扩展将忽略提供的主机,用户和密码信息,并将仅使用默认值。也就是说启用后,并在配置参数在php.ini中设置数据库主机,用户名和密码(sql.safe_mode在php7.2已经删除)
例如
sql.safe_mode = On
mysqli.default_host = "127.0.0.1"
mysqli.default_port = "3306"
mysqli.default_user = "root"
mysqli.default_pw = "Password123"
使用的时候不需要在php脚本中设置数据库账号和密码
只需要
$oDB = new mysqli();
$oDB->select_db( "database_name" );
这样就行了,当然这样有好有坏,这样就写死了不灵活,只是相对于安全一点而已
控制php脚本能访问的目录
使用open_basedir选项能够控制PHP脚本只能访问指定的目录,这样能够避免PHP脚本访问不应该访问的文件,一定程序上显示了phpshell的危害,我们一般可以设置为只能访问网站目录:
open_basedir = /usr/www
关闭危险函数
disable_functions = system, passthru, exec, shell_exec, popen, phpinfo, escapeshellarg, escapeshellcmd, proc_close, proc_open, dl
**如果你要禁止任何文件和目录的操作,那么可以关闭很多文件操作**
disable_functions = chdir, chroot, dir, getcwd, opendir, readdir, scandir, fopen, unlink, delete, copy, mkdir, rmdir, rename, file, file_get_contents, fputs, fwrite, chgrp,chmod, chown unlink, delete, copy, mkdir, rmdir, rename, file, file_get_contents, fputs, fwrite, chgrp,chmod, chown
以上只是列了部分比较常用的文件处理函数,你也可以把上面执行命令函数和这个函数结合,就能给抵制大部分的phpshell了。
关闭php版本信息在http头中的泄露
expose_php = off
这个php5.6默认是启动的,所以我们要禁用设置为off
比如黑客在 telnet domain 80 的时候,那么将无法看到PHP的信息
SQL注入防护
magic_quotes_gpc = on
这个默认是关闭的,如果它打开(off设置为on)后将自动把用户提交对sql的查询进行转换,比如把 ' 转为 \' 等
这对防止sql注入有很大作用
错误信息控制
display_errors = Off
如果你确实要显示错误信息,一定要设置显示错误的级别,比如只显示警告以上的信息:
error_reporting = E_WARNING & E_ERROR
建议关闭错误提示。
错误日志
建议在关闭display_errors后能够把是错误信息记录下来,便于排查服务器运行的原因:
log_errors = On
同时也要设置错误日志存放的目录,建议根apache的日志存在一起:
error_log = /usr/local/apache2/logs/php_error.log
注意:给文件必须允许apache用户或组具有写的权限。
总结
上面列出是一些最基本的安全加固,随着技术不断更新,安全加固也会随着不断进行改变,然后我们再进行修补,最大化的降低安全问题