So stärken Sie die Sicherheit von Websites in PHP-Sprache

Verwenden Sie Suhosin, um die Sicherheit der PHP-Skriptsprache zu stärken

PHP ist eine sehr beliebte Website-Skriptsprache, aber ihre inhärente Sicherheit ist sehr schwach. PHP-Erweiterungsplan (Hardened-PHP-Projekt) und der neue Suhosi-Plan, Suhosin bietet eine erweiterte PHP-Sicherheitskonfiguration.

PHP ist eine umstrittene, aber beliebteste Website-Skriptsprache. Es ist aufgrund seines niedrigen Preises beliebt. Dieser niedrige Preis hat jedoch dazu geführt, dass immer mehr Website-Anwendungen in PHP geschrieben werden, und gleichzeitig sind immer mehr PHP selbst Sicherheitslücken ausgesetzt Funktionen zeigen, dass PHP äußerst unzuverlässig ist. (Empfohlenes Lernen: PHP-Video-Tutorial)

Gleichzeitig ist diese Skriptsprache selbst sehr flexibel und kann leicht damit implementiert werden, der Code jedoch aufgebläht und unsicher, aber es hat immer noch viele Benutzer.

Man kann aufgrund der tatsächlichen Situation immer wieder davon ausgehen, dass verschiedene Anwendungssoftware diese Schwachstelle aufweist: anfällig für SQL-Injection, Cross-Site-Scripting, willkürliche Ausführung von Anweisungen usw.

Da integrierte PHP-Sicherheitsmaßnahmen wie „safe_mode“ und „open_basedir“ ignoriert werden, erstellt der PHP-Erweiterungsplan PHP, das sicherer ist, und führt auch Validierungsprüfungen für PHP durch.

Ursprünglich wurden diese mit erweiterten PHP-Patches durchgeführt, die das Patchen und Neukompilieren von PHP selbst erforderten. Vor kurzem hat das PHP Enhancement Project ein neues Projekt namens Suhosin veröffentlicht.

Suhosin ist ein PHP-Programmschutzsystem. Es soll Server und Benutzer vor bekannten und unbekannten Fehlern in PHP-Programmen und dem PHP-Kern schützen.

Sohosin besteht aus zwei Teilen: Der erste Teil ist ein PHP-Patch. Dieser Patch stärkt die Zend-Engine selbst, um mögliche Pufferüberläufe zu vermeiden und damit verbundene Schwachstellen zu verhindern. Der zweite Teil ist die Erweiterung von Suhosin, einem eigenständigen Modul für PHP. Die beiden Teile können zusammenarbeiten oder die Erweiterung kann unabhängig voneinander arbeiten.

Entwickler möchten aus Sicherheitsgründen nicht ihre eigenen PHP-Installationseinstellungen verwalten müssen und bevorzugen sicherlich die Verwendung von PHP direkt auf der vom Anbieter bereitgestellten Linux-Distribution und verwenden Erweiterungsmodule, um mehr bereitzustellen. Es gibt viele Sicherheitsfunktionen, die PHP selbst nicht haben kann.

Das Erweiterungsmodul ist einfach zu installieren; es kann auch über PECL installiert oder nach dem Herunterladen kompiliert und installiert werden:

    $ tar xvzf suhosin-0.9.17
　　$ cd suhosin-0.9.17
　　$ phpize
　　$ ./configure
　　$ make
　　$ sudo make install

Um suhosin zu verwenden, müssen Sie auch Sie müssen /etc/ php.ini hinzufügen, wie unten gezeigt:

extension=suhosin.so

Die Standardkonfigurationsoptionen sind für die meisten Menschen ausreichend. Um die Einstellungen zu verstärken, können Sie die entsprechenden Werte in /etc/php.ini hinzufügen. Die verschiedenen Konfigurationsmöglichkeiten werden auf der Website ausführlich vorgestellt. Diese Anleitung kann Ihnen bei der Erstkonfiguration helfen.

Mit Suhosin können Sie diese Protokolle in das Systemprotokoll einfügen oder sie gleichzeitig in beliebige andere Protokolldateien schreiben und Whitelists; können GET- und POST-Anfragen, Datei-Uploads und Cookies filtern. Sie können außerdem verschlüsselte Sitzungen und Cookies senden, einen Speicher einrichten, der nicht gesendet werden kann, und vieles mehr.

Im Gegensatz zum ursprünglichen PHP-Härtungspatch ist Suhosin mit Erweiterungssoftware von Drittanbietern wie Zend Optimizer kompatibel.

Das obige ist der detaillierte Inhalt vonSo stärken Sie die Sicherheit von Websites in PHP-Sprache. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!