PHP 安全与性能

最新推荐文章于 2024-09-04 20:41:37 发布
最新推荐文章于 2024-09-04 20:41:37 发布
阅读量364 收藏 4
点赞数 3
分类专栏: 编程手札 运维手札 文章标签: php 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010604770/article/details/140791345
版权

1. Apache mod_php / php-fpm

目录权限安全

1.1. 用户权限

web server 启动用户不能于运行用户为同一个用户

web server 运行用户与php程序不能为同一个用户

root      1082  0.0  0.1  11484  2236 ?        Ss   Mar01   0:00 nginx: master process /usr/sbin/nginx
www-data 13650  0.0  0.0  11624  1648 ?        S    09:44   0:00 nginx: worker process
www-data 13651  0.0  0.0  11624  1132 ?        S    09:44   0:00 nginx: worker process
www-data 13652  0.0  0.0  11624  1132 ?        S    09:44   0:00 nginx: worker process
www-data 13653  0.0  0.0  11624  1132 ?        S    09:44   0:00 nginx: worker process

  1. 父进程
    root 启动 web server, 此时web server 父进程应该是 root,同时父进程监听80端口
  2. 子进程
    父进程派生许多子进程,同时使用setuid,setgid将子进程权限切换为非root
    子进程用户可以通过httpd.conf设置
    User nobody Group nobody 
    nginx.conf
    $ cat /etc/nginx/nginx.conf user www-data; 
  3. fastcgi 进程
    root 13082 0.0 0.1 19880 2584 ? Ss 09:28 0:00 php-fpm: master process (/etc/php5/fpm/php-fpm.conf) www-data 13083 0.0 0.1 20168 3612 ? S 09:28 0:00 php-fpm: pool www www-data 13084 0.0 0.1 20168 2808 ? S 09:28 0:00 php-fpm: pool www www-data 13085 0.0 0.1 20168 2812 ? S 09:28 0:00 php-fpm: pool www www-data 13086 0.0 0.1 20168 2812 ? S 09:28 0:00 php-fpm: pool www 
    php-fpm 于apache类似,都是root父进程,然后派生子进程,由于fastcgi 使用 9000 所有我们可以不使用root启动php-fpm

现在我们开始讲解安全配置问题

我们目的是避免用户通过漏洞提升权限,或者由于权限配置不当产生漏洞

1.1.1. Apache

Apache 案例

  1. Apache : root 
  2. Apache 子进程 : nobody
  3. HTDOCS 目录 : /var/www
    /var/www |--include |--image |--temp |--... 

很多人会将/var/www用户与组设置为 nobody:nogroup / nobody:nobody, 同时因为images会上传文件需要设置777, 很多书本于教程上面也是这样讲的, 这样配置会有什么问题呢?我们来分析一下:

我们假设,一个用户上传一个文件到images目录,会有几种情况:

  1. 上传一个.php文件,我们可以通过程序禁止上传.php文件
  2. 我们上传一个.jpg文件,OK 通过了,通过某种手段将他重命名位.php扩展名的文件,然后通过http://www.example.com/images/your.php 运行它,your.php 可以做什么呢? 它可以查看所有文件,修改所有文件,创建其他php文件,去你可include目录下看config.php然后下载数据库。
  3. 内部开发人员偷偷将一个程序植入到系统中,这个做code review 可以避免

如何避免这样问题出现,有一个办法,我们新建一个用户www, webserver 进程是nobody,程序目录/var/www中的代码是www用户,nobody可能读取但不能修改。/var/www/images 目录所有者是nobody可以上传图片 

chown www /var/www/
chown nobody /var/www/images
find /var/www/ -type d -exec chmod 555 {} \;
find /var/www/ -type f -exec chmod 444 {} \;
chmod 755 /var/www/images

使所有可能目录允许运行.php文件,http://www.example.com/images/your.php 将被拒绝. include 也是同样处理方式,只允许使用include_once,require_one 包含,不允许http://www.example.com/include/your.php运行

<Location ~ "/((js/)|(cs
最低0.47元/天 解锁文章
netkiller-
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java php 性能比较_JAVA和PHP的优劣对比
weixin_33705384的博客
02-12 3507
原标题:JAVA和PHP的优劣对比 这样从几个方面来看:一、运行机制:Java代码被编译成字节码后,会在虚拟机里由JIT进行二次编译成为本地码,据传言其执行速度可以和C++相媲美,经过我自己测试,用Java实现一个简单的Memcache协议的缓存服务器,在Java 1.6下运行,和memcache本身相比,同样数据量的存取时间比大概是3:2,虽然有差距,但是比想象的要好很多。Java 1.7在JI...
【愚公系列】2024年03月 《CTF实战:从入门到提升》 010-Web安全入门(PHP代码执行漏洞)
热门推荐
时光隧道
03-28 5万+
PHP代码执行漏洞是一种常见的安全漏洞,也被称为远程代码执行(Remote Code Execution,RCE)漏洞。这种漏洞的发生通常是由于程序员在编写代码时未正确过滤用户输入,导致用户能够将恶意代码插入到应用程序中,然后被解释器执行。攻击者可以利用这种漏洞执行任意代码,从而获取系统权限、窃取数据或者对系统进行进一步的攻击。未过滤用户输入:开发者在使用用户输入时必须进行严格的输入验证和过滤,避免直接将用户输入作为代码执行。eval() 和 exec() 函数。
关于 PHP 性能优化
很青的青蛙专栏
12-15 1万+
本文写的也是关于PHP性能优化方面的话题,虽然老生常谈,但还是以我的角度来一个总结或分享。 网上关于50条PHP优化的方法,除此之外从架构或环境方面的优化建议等,是非常有益的。下面讲讲我所关注的一些方法或建议。 一般来说,性能优化可从大的方向开始,从对影响性能比较大的因素来考虑。比如现在使用PHP5.7,性能据说可以成倍增长。
PHP性能优化大全(整理)
摘取天上星
06-09 5386
PHP优化对于PHP的优化主要是对php.ini中的相关主要参数进行合理调整和设置,以下我们就来看看php.ini中的一些对性能影响较大的参数应该如何设置。  # vi /etc/php.ini (1) PHP函数禁用找到: disable_functions = 该选项可以设置哪些PHP函数是禁止使用的,PHP中有一些函数的风险性还是相当大的,可以直接执行一些系统级脚本命令,
linux之运维性能命令
少说,多做。
06-01 8401
每个命令都有其详细的参数和用法,具体问题需要结合具体命令的输出和系统日志进行综合分析。命令是最常用的性能监控工具之一,它提供了一个实时更新的视图,显示系统中当前活动的进程以及它们对 CPU 和内存的使用情况。命令用于打印和控制内核环形缓冲区的消息,它通常用来检测硬件相关的问题和驱动程序消息。命令显示网络连接、路由表、接口统计信息等,是用于检查网络配置和活动的工具。: 报告有关系统进程、内存、分页、块 IO、陷阱和 CPU 活动的信息。: 显示内存的使用情况,包括物理内存、交换内存、缓冲和缓存。
PHP swoole loader 扩展 for linux win系统、线程安全\非安全PHP54-81 全集
01-19
**线程安全与非线程安全** 线程安全(Thread Safe, TS)版本的Swoole Loader适用于多线程环境,比如Apache的MPM ITK或者PHP的内置HTTP服务器在开启多线程模式时。非线程安全(Non-Thread Safe, NTS)版本则适用于单...
PHP 线程安全与非线程安全版本的区别深入解析
10-27
PHP线程安全与非线程安全版本的概念主要与Windows平台上的PHP版本相关,因为Windows操作系统采用了多线程作为其核心工作方式,而Linux/Unix系统则依赖多进程。从PHP 5.2.1版本开始,Windows上的PHP分为Thread Safe...
php文件包含目录配置open_basedir的使用与性能详解
12-20
它不受PHP安全模式的影响。 1. **open_basedir介绍** `open_basedir`限制了PHP可以打开的文件和目录,仅允许访问设定的目录及其子目录内的文件。当使用`fopen()`, `file_get_contents()`, 或其他文件操作函数尝试...
高效稳定、安全易用、线上实时验证的全异步高性能网络库,通过PHP扩展方式使用 .zip
04-22
标题中的“高效稳定、安全易用、线上实时验证的全异步高性能网络库,通过PHP扩展方式使用 .zip”指的是一个专为PHP设计的网络库,它具备高性能、高稳定性、安全性和用户友好性,并且支持在线实时验证。这个网络库以...
python反序列化
2301_79783285的博客
08-30 1328
pickle序列化:将 Python 对象转换为可以存储或传输的格式。反序列化:将序列化的数据转换回 Python 对象。pickle模块:支持复杂的 Python 对象,但存在安全风险。json模块:支持 JSON 格式,更安全,适用于大多数应用场景。安全性:处理不受信任的数据时,应避免使用pickle。r:只读模式。w:写入模式,会清空原有内容。a:追加模式。b:二进制模式。:读写模式。x:独占创建模式。t:文本模式(默认)。
后端输出二进制数据,前端fetch接受二进制数据,并转化为字符输出
cdcdhj的博客
09-01 475
在这个前端代码中,我们使用fetch API请求PHP脚本,并获取二进制数据。然后,我们将ArrayBuffer转换为字符串,以便在JavaScript中使用。在PHP中,你可以将字符串或其他数据类型转换为二进制数据,并通过HTTP响应发送给前端。
Tomato靶场通关攻略
2301_81525518的博客
09-04 545
利用ssh连接写入木马 ssh '
如何优化浏览器缓存
web_geek的博客
09-04 721
不过您使用的是WordPress,就省事很多,有许多出色的 WordPress 插件可以帮助您设置,大多数好的主机公司也会提供设置合理的默认值,比如Hostease的虚拟主机,在默认设置的基础上,您还可以联系技术支持为您做调整,所以说,选择一个可靠的主机商,对于网站建设来说也是非常重要的。每当用户访问您的网站,他他们的浏览器需要从服务器上下载页面显示所需的资源(图片、CSS、JavaScript 和字体等),这些资源的下载会占用带宽,并需要一定的传输时间。这是一个新文件,因此不存在提供过时文件的风险。
RTX5源码全家桶集成emWin6.40, Modbus主从,含FreeRTOS版, 探讨一种移植第3方组件通用方法以及使用注意事项2024-08-30
Simon223的博客
08-31 530
RTX5源码全家桶集成emWin6.40, Modbus主从,含FreeRTOS版, 探讨一种移植第3方组件的通用方法以及多任务使用注意事项。2、RTX5/FreeRTOS全家桶首期视频,框架设计。3、CMSSIS-RTOS V2封装层教程。6、emWin和全家桶中间件的兼容问题。
域名解析DNS服务
qq_59349464的博客
09-01 1513
DNS 是互联网上解决网络中机器命名的一种系统。在网络中,一台主机去访问另外一台主机时,必须要 知道目标主机的IP地址,虽然网络上的节点都可以用IP地址来标识,并且可以通过IP地址被访问。但对 于自然人而言,一组组由数字组成的IP地址,是难以被理解和记忆的。于是设计出了域名系统,用一组 有意义的字符来表示某个特定主机或某个网络,再将网络中主机IP地址和域名之间做成一个映射表。
wordpress发送邮件的方法?怎么配置功能?
danplus的博客
09-04 489
通过上述步骤,你应该已经掌握了如何在WordPress中发送邮件的方法和配置功能。AokSend,WordPress邮件发送新选择,API与SMTP接口融合,提升网站通讯效率,让邮件营销更出色!
windows安装composer
最新发布
ice_mocha的博客
09-04 726
Composer 是一个用于PHP的依赖管理工具。Composer允许你声明你的PHP项目所依赖的库,并管理它们。它会安装和更新你项目所需要的库。
kali——nikto的使用
bunengyongzho666的博客
09-01 1190
linux自带的nikto工具能够对Web服务器进行综合性的安全测试,识别出潜在的安全问题和WEB漏洞。Kali Linux默认安装的nikto工具可以通过各种参数进行web服务器扫描,包括指定端口、目录、插件管理等,并且支持HTTPS、代理扫描以及与Nmap集成,为渗透测试人员提供了广泛的使用场景。
基于Java+Springboot+Vue+elememt宠物用品商城系统设计实现
央顺科技官方博客
08-31 1369
随着信息技术的不断发展,我们现在已经步入了信息化的时代了,而信息时代的代表便是网络技术的日渐成熟,而现在网络已经和我们的生活紧密的联系起来了,我们不敢想象没有网络我们的生活会像怎么样,也许就像食物中没有调料现在的生活离开了网络会变得索然无味。通过网络我们可以足不出户的做许多事情,例如工作、娱乐、学习,交友和购物等等许多我们数之不尽的事情,而就是因为网络我们的生活变得多姿多彩,或许有时甚至帮我们省下不少的时间和给予了我们更多的机遇。宠物网上商城对我们来说就有这些意义。
提升PHP性能:关键参数与安全设置详解
本文主要介绍了PHP性能优化的重要性和具体实现策略,通过调整php.ini文件中的关键参数来提升PHP应用的运行效率和安全性。以下是六个关键部分的详细解读: 1. **PHP函数禁用**: `disable_functions` 是一个关键设置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

netkiller-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值