PHP安全配置规范

最新推荐文章于 2024-05-30 11:34:05 发布
最新推荐文章于 2024-05-30 11:34:05 发布
阅读量1.6k 收藏 8
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42379759/article/details/88338221
版权

PHP安全配置规范

一、 说明

本文件中所有的配置选项无特殊说明,均为系统的php.ini文件。由于可能各个系统使用的PHP版本不一样,PHP的默认选项也可能不一样,为方便操作,要求所有检查的配置项必须在配置文件中明确写出。

二、 检查的配置项

1. 启用PHP安全模式

safe_mode = On

或者修改httpd.conf,定义目录:

<Directory /var/www>

php_admin_value safe_mode 1

</Directory>

启用safe_mode,会对许多PHP函数进行限制,特别是和系统相关的文件打开、命令执行等函数。所有操作文件的函数将只能操作与脚本UID相同的文件。能在很大程度上提高PHP应用的安全性。


2. 用户组安全

safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同组的用户也能够对文件进行访问。

建议设置为:

safe_mode_gid = off

如果不进行设置,可能我们无法对我们服务器网站目录下的文件进行操作了,比如我们需要对文件进行操作的时候。

参考:http://php.net/manual/zh/ini.sect.safe-mode.php


3. 关闭注册全局变量

register_globals = Off

PHP默认register_globals = On,对于GET, POST, Cookie, Environment, Session的变量可以直接注册成全局变量。它们的注册顺序是variables_order = "EGPCS"(可以通过php.ini修改),同名变量variables_order右边的覆盖左边,所以变量的滥用极易造成程序的混乱。

攻击者能通过提交数据来给PHP应用中的未初始化变量赋值,改变代码逻辑,产生安全问题。


4. 关闭远程文件操作(allow_url_fopen = On allow_url_include = Off 业务需求)

allow_url_fopen = Off

allow_url_include=Off

PHP的远程文件包含和远程文件操作功能在通常的应用中都不会用到,如果PHP代码在文件操作或是文件包含的时候对其变量不作严格的检查,攻击者就可以通过改变这些变量的值来包含远程机器上的恶意文件,并在WEB服务器上运行任意代码。


5. 打开引号转义

magic_quotes_gpc = On

如果PHP代码中没有对用户输入数据中的特殊字符作过滤就直接用于构造SQL查询串,将产生SQL注入漏洞。

该选项使得从GET, POST, COOKIE来的变量自动加了addslashes()操作,对输入字符串中的单引号,双引号,括号会进行转义操作,虽不能通过打开这个选项来完全解决 SQL注入问题,

最低0.47元/天 解锁文章
陈澍i
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP项目的安全原则
weixin_52345129的博客
01-16 998
从W3Techs 发布的历年服务器端编程语言使用趋势报告显示,近十年来 PHP 在份额上依旧牢牢占据榜首的位置,报告从 2013 年开始一直持续到 2024年。可以看到 PHP 始终占有 75% 以上的份额,几乎没有遇到比较大的波动。尽管最近几年 PHP 不再流行,大家也一直拿“PHP 是世界上最好的语言”来进行调侃,但从数据上看 PHP 仍是迄今为止最常用的服务器端语言。
php安全配置规范
11-27
有关php安全配置规范详解,运维人员需要注意的地方
PHP安全配置
开摆工作室(kbai.cc)
04-03 450
不能因为开个Web服务而垮掉一个服务器,php安全配置设置。
【汇总】php.ini优化,安全配置
soyo的专栏
08-13 235
http://www.ite5e.com/newsinfo.php?nid=298     Configuration File (php.ini) Path    PHP.INI目录 Scan this dir for additional         php    .ini files  ini扩展文件目录 extension_dir    php .so文件目...
PHP的一些安全设置,我都是这样设置的
最新发布
qq_32885471的博客
05-30 736
跨应用程序使用Cookie:不正确配置的应用程序可能具有相同的会话存储,如所有会话默认存储在/tmp目录下,一个应用程序的cookie可能永远不会被重新用于另一应用,只要加密密钥不同。它的设计初衷是为了保护服务器和用户,抵御PHP程序和PHP核心中已知或者未知的缺陷(感觉挺实用的,可以抵御一些小攻击)。不允许包含已上传的文件;,你可以得到一些错误日志,你能把这些日志放到系统日志中,也可以同时写到其他任意的日志文件中去;第一部分是一个用于PHP核心的补丁,它能抵御缓冲区溢出或者格式化串的弱点(这个必须的!
十大PHP最佳安全实践(转)
只要开心就好
01-31 1309
导读:本文来自知名时尚媒体ELLE(大陆版即《世界时装之苑》)网站的香港工程师Anson Cheung。文中他例举了有关PHP10个方面的最佳安全实践方式,供系统管理员学习与参考。原文是《Top 10 PHP Best Security Practices for Sys Admins》,以下是译文: PHP被广泛用于各种Web开发。而当服务器端脚本配置错误时会出现各种问题。现今,大部分Web服
php.ini安全配置禁用危险函数open_basedir防止跨目录
赵一舟的博客
01-29 7164
disable_functions = phpinfo,chroot,chown,chmod,system,shell_exec,passthru,exec,assert,pcntl_exec,proc_open,``,phpfunc,proc_get_status,chgrp,popen,get_cfg_var ; ###################### 禁用的危险函数 BEGIN ###...
PHP软件安全编码规范V2.4.docx
07-30
2.4 注意对网站根目录及下面所有子目录及文件的权限控制与保护,不要让配置文件/系统信息等文件暴露 10 2.4.1 说明 10 2.4.2 应对 10 2.4.3 举例 10 2.5 屏蔽或定制化出错信息 10 2.5.1 说明 10 2.5.2 应对 11 2.5.3...
Linux安全配置规范(20180615172451)
03-27
Linux 安全配置规范 本文档旨在提供一份详细的 Linux 安全配置规范,以提高 Linux 操作系统的安全性。本规范适用于 * 系统使用的 Linux 操作系统版本。 1. 概述 Linux 安全配置规范的目的是明确了 Linux 操作...
PHP 团队代码规范.docx
09-09
**PHP 团队代码规范详解** 在开发过程中,遵循统一的代码规范对于团队协作至关重要,它...遵循这些规范,可以提升PHP代码的质量和安全性,促进团队成员之间的有效沟通,降低维护成本,为项目的长期发展打下坚实基础。
百度PHP编码规范1
08-04
- **安全编码不应依赖安全配置**:代码本身应具备防御能力,不完全依赖外部配置来保障安全。 - **隐藏程序错误信息**:避免将敏感的错误信息直接暴露给用户,防止信息泄露。 综上所述,百度的PHP编码规范旨在通过...
浅谈PHP安全防护之Web攻击
10-20
常见的Web攻击分为两类:一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL注入,跨站脚本攻击等。下面这篇文章主要介绍了PHP安全防护之Web攻击,需要的朋友可以参考,下面来一起看看吧。
php安全设置(涉及到本身程序的安全问题)
09-06
PHP本身再老版本有一些问题,比如在 php4.3.10和php5.0.3以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保证安全PHP代码编写是一方面,PHP配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行php能够更安全。 整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任何编辑工具打开/etc/local/apache2/conf/php.ini,如果你是采用其他方式安装,配置文件可能不在该目录。
php安全配置 如何配置使其更安全
01-21
另外,目前闹的轰轰烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保证安全PHP代码编写是一方面,PHP配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任何编辑工具打开/etc/local/apache2/conf/php.ini,如果你是采用其他方式安装,配置文件可能不在该目录。 (1) 打开php
PHP常见漏洞的防范措施
大鹏
12-18 1994
一、常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用
PHP.ini的安全配置
李木
10-31 403
好久没有写这里的博客了,今天是 2013年10月31号。 追加一篇日志。         php用越来越多!安全问题更为重要!这里讲解如果安全配置php.ini   安全配置一   (1) 打开php安全模式 php安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(), 同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/
PHP环境安全配置教程(修改版)
文维东的专栏
07-19 2031
一、Web服务器安全 PHP其实不过是Web服务器的一个模块功能,所以首先要保证Web服务器的安全。当然Web服务器要安全又必须是先保证系统安全,这样就扯远了,无穷无尽。PHP可以和各种Web服务器结合,这里也只讨论Apache。非常建议以chroot方式安装启动Apache,这样即
php 其他页面获取session_PHP的一些安全设置
weixin_39870092的博客
11-21 124
由于脚本语言和早期版本设计的诸多原因,php项目存在不少安全隐患。从配置选项来看,可以做如下的优化。1.屏蔽PHP错误输出。在/etc/php.ini(默认配置文件位置),将如下配置值改为Offdisplay_errors=Off不要将错误堆栈信息直接输出到网页上,防止黑客加以利用相关信息。正确的做法是:把错误日志写到日志文件中,方便排查问题。2.屏蔽PHP版本。默认情况下PHP版本会被显示在返回...
架构师必须知道的26项PHP安全实践
weixin_30488085的博客
04-27 154
PHP是一种开源服务器端脚本语言,应用很广泛。Apache web服务器提供了这种便利:通过HTTP或HTTPS协议,访问文件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以,使用php时要小心。以下是25个PHP安全方面的最佳实践。 为PHP安全提示而提供的示例环境 文件根目录(DocumentRoot):/var/www/html 默认的Web服务器:Apache(可以使用L...
PHP编码规范与MySQL设计指南
"PHP服务端开发编码规范.pdf" 本文档详细阐述了PHP服务端开发的编码规范,旨在提高代码质量和团队协作效率。遵循PSR(PHP Framework Interop Group)规范,同时涵盖MySQL数据库的设计注意事项。 一、编码规范 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值