php环境 安全,针对PHP环境的安全设置防范PHP***

最新推荐文章于 2023-12-18 16:20:44 发布
最新推荐文章于 2023-12-18 16:20:44 发布
阅读量146 收藏
点赞数
文章标签: php环境 安全

我们可以把PHP环境下的网站目录锁定,使其不能跳出指定的目录,有两种方法设置

1.防止PHP***跳转其他目录

我们可以把PHP环境下的网站目录锁定,使其不能跳出指定的目录,有两种方法设置

一是可以在http.conf文件设置,假设你的网站目录是E:/yourweb/home,那么就可以在http.conf文件内加上:php_admin_valueopen_basedir E:/yourweb/home

二是可以在php.ini文件那里设置,找到openbase_dir,把他前面的分号去掉,改为open_basedir=”E:/yourweb/home”

两种方法,有兴趣深入讨论的可以自己找下相关资料下,个人认为还是第二种好,bytheway第二种不受safe_mode影响,我建议还是用第二种好,我找了下相关资料,也没有分清两种设置的区别,有这方面的见解的请讨论下,thx

再改php.ini里的allow_url_fopen设为off禁止远程使用文件

2.防范PHP***执行系统命令

PHP执行系统命令的方法一般要调用以下几个函数: passthru,exec,shell_exec,system

很多人就是把safe_mode打开了,然后就以为安全了,其实不然,因为每个apache的版本不同,多种方法绕过safe_mode,如XY7今年年初写的imap函数(imap函数默认是关的),还有最近新出的方法绕过safe_mode的,如errorlog方法绕过safe_mode,有兴趣的朋友可以在网上找下相关资料,绕过的方法是蛮多的,综合上述,关了safe_mode后,还有在php.ini里面改以下这东东:

disable_ns= passthru,exec,shell_exec,system

3.关闭错误提示

改了以上东东以后,我们还要改一下错误选择, display_errors=Off,这个在程度测试的时候可以打开,程序正式发布后强烈建议关了

magic_quotes_gpc = On,这个默认是开的,转义用的,get,post,cookie里的引号变为斜杠,如值(It"s "PHP!") 会自动转换成 (It/"s/"PHP!/")如果不想转成”/”的话,可以在magic_quotes_sybase=On设置为开,他就把单引号转成双引了,这个可以虚张声势.

4.关闭上传

在PHP.ini文件里上传的相关设置,有利也有不利的,看你如何使用了,如: file_uploads=On默认是开的,这个是支持http上传的,如果为了免去上传漏洞使其上传PHP***的话,你可以把他给Off的了,但,其他的相关http上传就不能用了,权量而用吧.

5系统权限设置

在WIN下的apache是以系统身份运行的,这时我们可以新建立一个底权限的user组用户,然后,打开”服务”那里,找到apache的服务,把系统权限运置换为低权限的用户,最后设置设置WEB上当下的相关文件权限,如一些用来上传的文件夹设置为可写,其他的设置为只读.安实际情况而定吧.

诗无忌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP环境安全加固1
08-08
接着,设置**安全模式下可执行程序的主目录**。当需要执行程序时,可通过`safe_mode_exec_dir`指定目录,通常不推荐执行系统目录的程序,而是指向一个安全的目录,例如: ``` safe_mode_exec_dir = /temp/cmd ``` ...
PHP安全防范技巧分享
10-28
为了增强PHP安全性,建议安装Suhosin补丁,这是一个针对PHP安全增强补丁,提供了额外的安全防护层。此外,正确配置php.ini文件也至关重要,如关闭register_globals以避免变量污染,禁用错误显示并启用错误日志...
php 安全包含文件系统,PHP安全之文件系统安全防范措施
weixin_33673142的博客
03-11 102
PHP 遵从大多数服务器系统中关于文件和目录权限的安全机制。这就使管理员可以控制哪些文件在文件系统内是可读的。必须特别注意的是全局的可读文件,并确保每一个有权限的用户对这些文件的读取动作都是安全的。PHP 被设计为以用户级别来访问文件系统,所以完全有可能通过编写一段 PHP 代码来读取系统文件如 /etc/passwd,更改网络连接以及发送大量打印任务等等。因此必须确保 PHP 代码读取和写入的是...
php网站安全保护代码,轻松实现php代码防注入,保护代码安全!
weixin_36189723的博客
03-20 298
今天写代码的时候猛然想到是不能能够通过一个文件来处理整个网站中所有可能出现注入的地方进行防范呢?这样就能够不用在每个程序里对每个变量进行过滤,节省了时间和代码。我们主要是从两点出发,因为我们的获取的变量一般都是通过GET或者POST方式提交过来的,那么我们只要对GET和POST过来的变量进行过滤,那么就能够达到防止注入的效果。而且我们的PHP真是非常好,已经内置了$_GET和$_POST两个数组来...
确保PHP安全的四条安全规则
我的地盘
09-06 460
有关PHP安全的几条规则规则 1:绝不要信任外部数据或输入关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的
php网站安全保护代码,PHP网站安全,PHP程序安全的几个措施
weixin_34363071的博客
03-20 150
多年来,PHP一直是一个稳定的、廉价的运行基于web应用程序的平台。像大多数基于web的平台一样,PHP也是容易受到外部***的,下面说说PHP网站安全PHP程序安全的几个措施。开发人员、数据库架构师和系统管理员在部署PHP应用程序到服务器之前都应该采取预防措施。大部分预防措施可以通过几行代码或者把应用程序设置稍作调整即可完成。#1:管理安装脚本如果开发人员已经安装了一套第三方应用程序的PHP脚...
php登陆验证安全,PHP验证登录状态和安全
weixin_32703763的博客
03-19 182
固定的私钥来做salt其实不好,一旦私钥泄漏之后就很麻烦,而且最痛苦的其实是你不知道你到底有没有泄漏用户的密码字符串作为salt是更好的办法签名字符串:$sign = md5('$user_id+$user+_password[+浏览器UA[+IP地址[...]]]');里面爱加什么你可以自己发挥存储到cookie里面的字符串为$token = $user_id.','.$sign;然后你需要对用...
php中几种常见安全设置详解
10-29
2. **安全模式下的用户组设置**:当安全模式开启且`safe_mode_gid = off`时,PHP脚本可以访问文件,并且同组用户也能访问这些文件。但为了防止不必要的文件访问,建议保持关闭状态:`safe_mode_gid = off`。 3. **...
基于PHP开发中的安全防范知识详解
10-27
这篇文章主要讲解了几个关键的安全防范措施,包括防止XSS跨站脚本攻击、SQL注入、用户输入处理、文件上传、Session和Cookie的安全管理,以及使用安全检测工具。 首先,对于XSS攻击,开发者应该对用户提交的数据进行...
php 应用程序安全防范技术研究
10-29
比特网专家特稿:关于PHP应用程序的安全,我们往往容易疏忽,或者采取的措施并不得当。这里给大家提供个通用防注射防跨站的小程序,仅供大家参考。
PHP给后台管理系统加安全防护机制的一些方案
任聪聪的博客
04-22 998
本篇文章主要讲解PHP管理系统后台管理员登录中心的防护方法。 适用范围:php原生、框架内部使用 很多刚学习php的小白同学不知道如何对管理系统进行安全防护机制的功能开发,故此书写这个实例教程文章。 方案一、通过在登录界面增加URL的加密参数进行判断 【能避免暴力破解、相对轻便简单】 配置参数说明: 后台系统设置界面、或者数据库存储、再或者将加密参数存储在redis缓存中都可。 主要思路: 保存一个明文或者密文在指定的位置,登录界面访问时进行加密参数的匹配,成功者显示界面,不成功则不显示。 代码实例: .
windows开启php守护,windows防火墙如何开启和关闭
weixin_33390899的博客
03-12 181
方法:1、在电脑桌面上右击“此电脑”,然后点击“属性”进入“控制面板”界面;2、依次点击“系统和安全”->“Windows defender防火墙”选项;3、点击“启动或关闭windows defender防火墙”即可关闭或开启防火墙。本教程操作环境:windows10系统、Dell G3电脑。开启和关闭windows防火墙的方法首先我们需要打开电脑在电脑桌面上我们选择“此电脑”单击右键,在...
PHP命令执行与防范
S1lenc3的博客
11-04 51
命令执行漏洞是指攻击者可以随意执行系统命令,是高危漏洞之一。 命令连接符:& && || | 如:ping www.baidu.com && net user PHP命令执行 (1)命令执行 PHP提供了一些函数用来执行外部应用程序,如:system(),shell_exec(),exec()和passthru。 (2)代...
php 身份认证 claim,安全性 – 使用PHP对/ etc / shadow对用户进行身份验证的最安全方法?...
weixin_33849892的博客
03-28 94
这个问题对我来说很重要,因为我正在建立一个部落环境,并希望使用系统帐户.做一些搜索我发现主要有4种方法,这些方法似乎都有一些缺点.现在我想知道,哪一个最安全,或者我错过了一些替代方案.>方法1:使用PAM(PHP)Horde提供了一个使用PAM库的auth插件.工作正常,但Web服务器需要对/ etc / shadow的读访问权限.我发现一些声明说这和发布密码文件一样安全.>方法2:使...
php越权执行系统命令,PHP中通过bypass disable functions执行系统命令的几种方式
weixin_42318030的博客
03-19 210
* 本文作者:我是大王123(adwin@安信实验室 ),本文属FreeBuf原创奖励计划,未经许可禁止转载声明:本文公开的方法和脚本仅供学习和研究使用,任何团队和个人不得使用本文披露的相关内容从事违法网络攻击活动,否则造成的一切后果由使用者本人承担,与本文作者无关。一、为什么要bypass disable functions为了安全起见,很多运维人员会禁用PHP的一些“危险”函数,例如ev...
万网php.ini如何设置,如何配置php.ini以提高Web服务器的安全
weixin_42512842的博客
04-13 140
PHP启动时将读取配置文件(php.ini)。对于PHP的服务器模块版本,仅在启动Web服务器时才发生一次。对于CGI和CLI版本,它会在每次调用时发生。如何配置php.ini以提高Web服务器的安全性1、禁用不需要的PHP函数此选项可以设置禁止使用哪些PHP函数。 PHP中的某些功能仍然存在很大风险。如果允许执行这些功能,那么当PHP程序容易受到攻击时,损失会非常严重!下面我们给出建议的禁用功能...
PHP安全配置
翔一的垃圾桶
11-30 777
安全PHP很不错的DOC 整理:san版本:0.02 创建时间:2001/11/12更新时间:2003/07/21 一、Web服务器安全 PHP其实不过是Web服务器的一个模块功能,所以首先要保证Web服务器的安全。当然Web服务器要安全又必须是先保证系统安全,这样就扯远了,无穷无尽。PHP可以和各种Web服务器结合,这里也只讨论Apache。非常建议以chroot方式安装启动Ap
黑马程序员《PHP基础案例教程》第2版课后练习—第09章
最新发布
DearPhotographer的博客
12-18 1881
填空题、选择题、判断题、简答题
php安全配置
Daisy的博客
04-10 1720
1.软件版本:PHP版本应该从PHP官方提供的下载页面下载,注意不要下载beta版本。 PHP官网下载地址为:http://www.php.net/downloads.php 2.控制脚本访问权限:PHP默认配置允许php脚本程序访问服务器上的任意文件,为避免php脚本访问不该访问的文件,从一定程度上限制了php木马的危害,需设置php只能访问网站目录或者其他必须可访问的目录。 /usr/l...
PHP网络安全防范文件系统与数据库安全威胁
总结来说,PHP数据库安全维护涉及多个层面,包括文件系统安全控制、防范特殊字符攻击以及正确管理数据库权限。开发者必须了解这些潜在风险,并采取相应的预防措施,以确保系统的完整性和数据的安全。通过学习这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值