web服务器的php安全设置

最新推荐文章于 2024-07-30 21:02:40 发布
最新推荐文章于 2024-07-30 21:02:40 发布
阅读量121 收藏
点赞数
文章标签: php shell python
原文链接:https://my.oschina.net/u/820238/blog/185944
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

文中的情形是利用PHP的漏洞远程执行代码下载文件写入服务器并执行.

而正常情况下运行PHP的用户(一般就是Web服务器运行用户)对 Web目录是没有写权限的(除了缓存目录),而为了安全一般都用disable_functions在php.ini里禁用了PHP执行Shell的函数 (也就无法通过运行PHP WebShell回弹Shell执行Shell命令),另外open_basedir也会限制PHP的文件操作目录,明确隔离了Web目录和系统目录.

就算是缓存目录,一般也会配置为不解析PHP,所以即使上传PHP WebShell到缓存目录也无法执行.

如果你非要chmod -R 777 /var/www/html和允许PHP调用Shell命令,那只能说是自己的问题了.

安全的Web目录权限设置:
find -type d -exec chmod 755 {} \;
find -type f -exec chmod 644 {} \;
注意:Web目录用户不能是Web服务器运行用户,一般通过yum/apt-get安装服务的情况下是这样的.
编译安装LAMP服务的注意要自己新建用户并指定用户运行Apache或者Nginx.

在php.ini里禁用执行Shell的函数和限制PHP文件操作目录:
disable_functions = passthru,exec,system,shell_exec,chroot,chgrp,chown,proc_open,proc_get_status,ini_alter,ini_restore,ini_set,dl,pfsockopen,symlink,popen,putenv
open_basedir=/var/www/html/:/tmp/
更多"安全禁用函数"参考:
http://help.aliyun.com/manual?helpId=87
因 为默认情况下PHP的会话文件存放在/tmp下,上传的文件也会临时存放在/tmp下,所以需要open_basedir里设置了/tmp目录,不过无论 是会话文件存放目录还是临时上传目录,都可以在php.ini里自定义,也可以为每个虚拟主机进行自定义,隔离虚拟主机间的文件操作.

转载于:https://my.oschina.net/u/820238/blog/185944

weixin_33860737
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web服务器安全检查
04-08
1. **最新更新和补丁**:保持操作系统、Web服务器软件(如Apache或IIS)以及相关的应用程序(如PHP和ASP)的更新,及时安装安全补丁,可以有效抵御已知的攻击漏洞。 2. **防火墙配置**:设置适当的防火墙规则,只...
服务器web工具 php环境下
01-20
可能感兴趣的文章:php使用socket post数据到其它web服务器的方法C#使用PHP务端的Web Service通信实例基于php在各种web服务器的运行模式详解Nginx + php 搭建 超性能 WEB 服务器Linux+Nginx+Php架设高性能WEB...
PHP网站在Linux服务器安全设置方案
weixin_30950237的博客
08-17 84
本文总结了PHP网站在Linux服务器上一些安全设置(ps:还有一些设置给忘了),在《lnmp一键安装包》大多数参数已经包含,如果有什么更多的设置,大家一起讨论学习 PHP安全配置 1. 确保运行php用户为一般用户,如www 2. php.ini参数设置 disable_functions = passthru,exec,system,chroot,chgrp,chown,shel...
十大PHP最佳安全实践(转)
只要开心就好
01-31 1311
导读:本文来自知名时尚媒体ELLE(大陆版即《世界时装之苑》)网站的香港工程师Anson Cheung。文中他例举了有关PHP10个方面的最佳安全实践方式,供系统管理员学习与参考。原文是《Top 10 PHP Best Security Practices for Sys Admins》,以下是译文: PHP被广泛用于各种Web开发。而当服务器端脚本配置错误时会出现各种问题。现今,大部分Web
HTTP攻击与防范--PHP安全配置
杨森源的博客
05-29 5722
1什么是安全性 所谓安全性就是保护web应用程序与网页不会受到黑客的攻击。有些黑客纯粹是为了好玩而入侵他人的电脑,但有更多的黑客费劲心思要窃取他人电脑中的机密文件,甚至使整台电脑瘫痪来达到他的目的。现象在网上有很多可以让黑客使用的软件,这些软件多半是免费的而且简单好用,所以一般人要攻击您的电脑,并不是一件非常困难的事情。关键是您对电脑进行了什么样的保护?如果只是安装了查毒软件或者防火墙以为平
php怎么处理服务器安全,PHP服务器接口访问安全性处理
weixin_39531229的博客
03-20 145
我的问题是,如果不做安全相关处理的话,一些可能改变数据库的操作可能会遭遇垃圾数据提交什么的,毕竟要找到这些信息只要找个http包就可以了系统无用户登录新手问题(从来没做过务端开发),如果可以,给几个主流方法的链接,多谢直观总结方法二:1.求头里带用户username和password,到服务器端做验证,通过才继续下边业务逻辑。有点:防止了服务器端api被随意调用。缺点:每次都交互用户名和密码,...
操作系统安全Web服务器.pptx
06-01
总的来说,Web服务器安全管理需要结合正确的配置、严格的权限设置以及持续的监控。了解和掌握这些知识,能够帮助我们预防潜在的安全风险,保护用户的隐私,以及确保务的稳定运行。在运维过程中,定期检查和更新...
WEB 专用服务器安全设置总结
01-20
IIS的相关设置: 删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置设置好相关的连接数限制,带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有...
PHP5.4起内置web服务器使用方法
01-21
当把PHP做为CGIWeb求时,它需要被嵌入到某种Web服务器里,最常见的是集成到Apache或IIS里,这就是说,在使用PHP前,你需要安装Apache或IIS,并且正确的配置它们和PHP集成的参数。虽然这种配置已经很规范,文档...
PHP安全配置
m0_58033230的博客
08-22 1021
PHP.ini安全配置
PHP 安全性漫谈
老干瞄的博客
02-09 792
本文所讨论的安全性环境是在Linux+Apache+Mysql+PHP。超出此范围的安全性问题不在本文范畴之内 一、apache server安全设置 1、以Nobody用户运行 一般情况下,Apache是由Root 来安装和运行的。如果Apache Server进程具有Root用户特权,那么它将给系统的安全构成很大的威胁,应确保Apache Server进程以最可能低的权限用户来运行
PHP常见的十个安全问题
weixin_49163826的博客
07-20 948
相对于其他几种语言来说, PHPweb 建站方面有更大的优势,即使是新手,也能很容易搭建一个网站出来。但这种优势也容易带来一些负面影响,因为很多的 PHP 教程没有涉及到安全方面的知识。 此帖子分为几部分,每部分会涵盖不同的安全威胁和应对策略。但是,这并不是说你做到这几点以后,就一定能避免你的网站出现任何问题。如果你想提高你的网站安全性的话,你应该继续通过阅读书籍或者文章,来研究如何提高你的网站安全性 出于演示需要,代码可能不是很完美。日常开发过程中,很多代码都包含在了框架跟各种库里面。作为一个后台开
PHP Web 安全
lihuan974683978的专栏
12-12 495
一、表单测试: 空白字符,控制字符,非字母数据(如符号&,*等),超长输入(大于256个字符),留言版垃圾,二进制数据,其他编码数据(如ASICII,UTF-8,十六进制,八进制等),SQL诸如,XSS 处理:设定长度规则(合法用户不会写小说),若能发邮件的地方只能一次一个发一人,错误处理进行重定向或错误提示, 二、系统调用:exec(),
PHP安全的学习笔记
干脆利索
01-04 129
PHP 安全指南http://hhacker.com/files/200709/1/index.html   Php安全 [ 原书信息 ] 《SAMS Teach Yourself PHP in 10 Minutes》 Author: Chris Newman Publisher : Sams Publishing Pub Date : March...
php安全配置
Daisy的博客
04-10 1719
1.软件版本:PHP版本应该从PHP官方提供的下载页面下载,注意不要下载beta版本。 PHP官网下载地址为:http://www.php.net/downloads.php 2.控制脚本访问权限:PHP默认配置允许php脚本程序访问服务器上的任意文件,为避免php脚本访问不该访问的文件,从一定程度上限制了php木马的危害,需设置php只能访问网站目录或者其他必须可访问的目录。 /usr/l...
php 客户端与服务器安全与破解
lorraine_40t的博客
07-06 432
一般的加密和授权:转发服务器(代理服务器) 解决方案:hhvm编译代码   放扒取: js类 1:防止鼠标右键事件,在html->body <body oncontextmenu=self.event.returnValue=false> 或者在js里写 document.oncontextmenu = function(){ event.return...
APP接口设计安全问题
热门推荐
AndyLizh的专栏
09-10 6万+
PHP服务器接口客户端用http协议POST访问安全性一般怎么做
RCE和php文件上传
最新发布
m0_71332744的博客
07-30 856
在网络安全领域,远程命令执行(RCE)和文件上传漏洞是两种常见的攻击方式。本文将带大家深入了解这两种漏洞的原理、利用方法以及如何进行有效防御。
Windows 2000下Web服务器的配置与安全实践
"该资源是一份关于Web服务器的组建、配置和安全管理的PPT,主要讲解如何在Windows 2000环境下搭建Web服务器,包括使用IIS和Apache两种常见服务器软件的设置方法。" 在互联网领域,Web服务器是至关重要的基础设施,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值