PHP安全配置规范

最新推荐文章于 2024-04-19 17:01:28 发布
最新推荐文章于 2024-04-19 17:01:28 发布
阅读量1.6k 收藏 8
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42379759/article/details/88338221
版权

PHP安全配置规范

一、 说明

本文件中所有的配置选项无特殊说明,均为系统的php.ini文件。由于可能各个系统使用的PHP版本不一样,PHP的默认选项也可能不一样,为方便操作,要求所有检查的配置项必须在配置文件中明确写出。

二、 检查的配置项

1. 启用PHP安全模式

safe_mode = On

或者修改httpd.conf,定义目录:

<Directory /var/www>

php_admin_value safe_mode 1

</Directory>

启用safe_mode,会对许多PHP函数进行限制,特别是和系统相关的文件打开、命令执行等函数。所有操作文件的函数将只能操作与脚本UID相同的文件。能在很大程度上提高PHP应用的安全性。


2. 用户组安全

safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同组的用户也能够对文件进行访问。

建议设置为:

safe_mode_gid = off

如果不进行设置,可能我们无法对我们服务器网站目录下的文件进行操作了,比如我们需要对文件进行操作的时候。

参考:http://php.net/manual/zh/ini.sect.safe-mode.php


3. 关闭注册全局变量

register_globals = Off

PHP默认register_globals = On,对于GET, POST, Cookie, Environment, Session的变量可以直接注册成全局变量。它们的注册顺序是variables_order = "EGPCS"(可以通过php.ini修改),同名变量variables_order右边的覆盖左边,所以变量的滥用极易造成程序的混乱。

攻击者能通过提交数据来给PHP应用中的未初始化变量赋值,改变代码逻辑,产生安全问题。


4. 关闭远程文件操作(allow_url_fopen = On allow_url_include = Off 业务需求)

allow_url_fopen = Off

allow_url_include=Off

PHP的远程文件包含和远程文件操作功能在通常的应用中都不会用到,如果PHP代码在文件操作或是文件包含的时候对其变量不作严格的检查,攻击者就可以通过改变这些变量的值来包含远程机器上的恶意文件,并在WEB服务器上运行任意代码。


5. 打开引号转义

magic_quotes_gpc = On

如果PHP代码中没有对用户输入数据中的特殊字符作过滤就直接用于构造SQL查询串,将产生SQL注入漏洞。

该选项使得从GET, POST, COOKIE来的变量自动加了addslashes()操作,对输入字符串中的单引号,双引号,括号会进行转义操作,虽不能通过打开这个选项来完全解决 SQL注入问题,

最低0.47元/天 解锁文章
陈澍i
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php.ini安全配置
发哥微课堂
12-10 954
介绍 Php默认很多选项是不安全的,给攻击者留下了很多利用的机会。 Php.ini中分号开头行为注释行,配置大都为“指令名=值”的形式,这里需要注意的是php.ini对指令名大小写敏感,a=aaa和A=aaa是不一样的。而php.ini中的值可以是字符串、数字、php常量、ini常量、表达式等。配置文件分了很多部分,例如模块部分、php全局配置、数据库配置等。 安全参数 以下有些参数设置在...
PHP安全配置范例
qq_41679358的博客
07-09 1307
文章目录php安全配置范例Configurationbcmathcgi-fcgiCorectypecurldatedomeregfilterftpgdgettexthashiconvjsonlibxmlmbstringmcryptmhashmysqlmysqlimysqlndopensslpcntlpcrePDOpdo_mysqlpdo_sqlitePharposixReflectionsessionshmopSimpleXMLsoapsocketsSPLsqlite3standardtokenizerxm
php.ini的默认配置文件安全配置选项
qq_39330735的博客
03-16 915
当safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同。在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问,php安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd,当然,如果这样设置了,那么获取对应变量的时候就要采用合理方式,比如获取GET提交的变量var,
PHP中如何防范常见的安全漏洞?
最新发布
Emmanueloldsmith的博客
04-19 764
除了上述提到的常见漏洞和防范措施外,还应关注最新的安全动态和漏洞信息,及时更新和升级PHP版本和相关的库和插件。跨站脚本攻击(XSS)是指攻击者通过注入恶意脚本到目标网站,当其他用户访问该网站时,恶意脚本会在用户的浏览器中执行,窃取用户信息或执行其他恶意操作。跨站请求伪造(CSRF)是指攻击者利用用户在已登录状态下的浏览器,伪造用户的请求发送到目标网站,执行非用户意愿的操作,如更改密码、转账等。文件上传功能允许用户上传文件到服务器,但如果不加以限制和验证,可能导致恶意文件的上传和执行。
php安全配置
Daisy的博客
04-10 1715
1.软件版本:PHP版本应该从PHP官方提供的下载页面下载,注意不要下载beta版本。 PHP官网下载地址为:http://www.php.net/downloads.php 2.控制脚本访问权限:PHP默认配置允许php脚本程序访问服务器上的任意文件,为避免php脚本访问不该访问的文件,从一定程度上限制了php木马的危害,需设置php只能访问网站目录或者其他必须可访问的目录。 /usr/l...
php.ini-Web安全配置问题
初学者L_言的博客
05-09 284
一、环境 Win2003 phpstudy:php 5.2.17 二、相关知识 2.1 魔术引号 magic_quotes_gpc magic_quotes_gpc = On: 功能:单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符 都会被加上反斜线,可预防SQL注入 2.2 safe_mode safe_mode = On: 当一个web服务器上运行的php打开了安全模式, 那么一些函数将被完全的禁止,并且会限制一些可用的功能。 受限函数: chdir, move_upload
php.ini配置详情
xiaoyuanfannao的专栏
04-02 2266
php.ini配置详情 欢迎关注我的公众号《pencil带你玩转Linux》,回复“Linux学习资料”获取视频教程哦。 ---------------------------------------------------------------...
php安全配置规范
11-27
有关php安全配置规范详解,运维人员需要注意的地方
PHP软件安全编码规范V2.4.docx
07-30
2.4 注意对网站根目录及下面所有子目录及文件的权限控制与保护,不要让配置文件/系统信息等文件暴露 10 2.4.1 说明 10 2.4.2 应对 10 2.4.3 举例 10 2.5 屏蔽或定制化出错信息 10 2.5.1 说明 10 2.5.2 应对 11 2.5.3...
Linux安全配置规范(20180615172451)
03-27
Linux 安全配置规范 本文档旨在提供一份详细的 Linux 安全配置规范,以提高 Linux 操作系统的安全性。本规范适用于 * 系统使用的 Linux 操作系统版本。 1. 概述 Linux 安全配置规范的目的是明确了 Linux 操作...
PHP 团队代码规范.docx
09-09
**PHP 团队代码规范详解** 在开发过程中,遵循统一的代码规范对于团队协作至关重要,它...遵循这些规范,可以提升PHP代码的质量和安全性,促进团队成员之间的有效沟通,降低维护成本,为项目的长期发展打下坚实基础。
百度PHP编码规范1
08-04
- **安全编码不应依赖安全配置**:代码本身应具备防御能力,不完全依赖外部配置来保障安全。 - **隐藏程序错误信息**:避免将敏感的错误信息直接暴露给用户,防止信息泄露。 综上所述,百度的PHP编码规范旨在通过...
php.ini配置详解 mysql_php.ini配置详解
weixin_35823048的博客
02-02 1026
一、关于phpini介绍php.iniapache在启动时php.ini被读取。对于服务器模块版本的php,仅在web服务器启动时读取一次。对于CGI和CLI版本,每次调用都会被读取Apache Web服务器在启动时会把目录转到根目录,这将使得PHP尝试在根目录下读取php.ini,如果·存在的话。在php.ini中可以使用环境变量User.ini自php5.3.0起,PHP支持基于每个目录的....
php.ini 安全配置
weixin_33781606的博客
11-21 82
(1) 打开php安全模式 php安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd,但是默认的php.ini是没有打开安全模式的,我们把它打开: safe_mode = on (2) 用户组安全 当safe_mode打开时,safe_mode_g...
配置 php_PHP安全配置容易忽视的问题
weixin_34871733的博客
01-10 86
禁用掉可能带来安全隐患的函数防止外部注入调用这些函数,产生不必要的麻烦在php.ini中disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,po...
php.ini环境配置,windows中apache php环境配置方法(php.ini 配置)
weixin_39862899的博客
03-18 297
一,我们先到php.net去下载一个php解压版的,记住要是windows哦,同时也需要是安全线程版的。我们先把php解压到c:/php目录,然后找到中的配置文件改成php.ini(可到奖php.ini-development改成php.ini)1 设置扩展路径查找 extension_dir 有这么一行代码如下extension_dir = “./”将此行改成代码如下extension_dir ...
如何安全配置php.ini
u014265398的博客
11-15 982
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言1.限制php泄露信息2.删除不必要的扩展3.禁用远程代码执行4.开启错误日志5. 合理控制资源6 禁用危险的PHP函数7.上传文件8.保持版本最新9.控制文件系统访问10.控制POST大小11 .打开php安全模式总结 前言 PHP安全是广大开发人员担心的主要问题。虽然PHP提供从里到外的可靠安全,但是需要由开发人员正确地落实这些安全机制。我们在本文中将为Linux管理员介绍几个PHP安全要点。这些要点将帮助你确保We
【汇总】php.ini优化,安全配置
soyo的专栏
08-13 233
http://www.ite5e.com/newsinfo.php?nid=298     Configuration File (php.ini) Path    PHP.INI目录 Scan this dir for additional         php    .ini files  ini扩展文件目录 extension_dir    php .so文件目...
web安全前端编码规范1
08-04
重点项目需要考虑安全方面的测试,UI变量使用需符合一定规范,JS代码、CSS代码、表单提交、Cookie使用、页面安全PHP安全编码等方面也有相应的规范。个人在遵守这些规范的同时,也需要加强对安全方面知识的学习和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值