PHP-Sicherheitseinstellungen umfassen: 1. PHP-Fehlerausgabe abschirmen; 3. Globale Variablen schließen; 5. Remote-Ressourcenzugriff verbieten; .
Empfohlen: „PHP-Tutorial“
Ich habe kürzlich mit meinen Kollegen über PHP-Sicherheitsprobleme gesprochen und aufgezeichnet sie. Einige Erkenntnisse.
Aufgrund vieler Gründe für die Skriptsprache und das Design früher Versionen weisen PHP-Projekte viele Sicherheitsrisiken auf. Aus den Konfigurationsmöglichkeiten können folgende Optimierungen vorgenommen werden.
1.
Ändern Sie in /etc/php.ini (Standardspeicherort der Konfigurationsdatei) den folgenden Konfigurationswert auf Aus
display_errors=Off
Geben Sie die Fehlerstapelinformationen nicht direkt an die aus Webseite, um zu verhindern, dass Hacker relevante Informationen nutzen.
Der richtige Ansatz ist:
Schreiben Sie das Fehlerprotokoll in die Protokolldatei, um die Fehlerbehebung zu erleichtern.
2. Blockieren Sie die PHP-Version.
Standardmäßig wird die PHP-Version im Return-Header angezeigt, wie zum Beispiel: Response Headers X-powered-by: PHP/7.2.0
In php. ini Ändern Sie den folgenden Konfigurationswert auf Off
expose_php=Off
3. Schließen Sie die globalen Variablen.
Wenn globale Variablen aktiviert sind, werden einige über das Formular übermittelte Daten automatisch als globale Variablen registriert. Der Code lautet wie folgt:
<form action="/login" method="post"> <input name="username" type="text"> <input name="password" type="password"> <input type="submit" value="submit" name="submit"> </form>
Wenn globale Variablen aktiviert sind, kann das serverseitige PHP-Skript $username und $password verwenden, um den Benutzernamen und das Passwort abzurufen, was eine große Gefahr der Skriptinjektion mit sich bringt.
Die Methode zum Aktivieren besteht darin, es in php.ini wie folgt zu ändern:
register_globals=On
Es wird empfohlen, es zu schließen. Die Parameter lauten wie folgt:
register_globals=Off
Wann Wenn es geschlossen ist, können Sie nur auf $_POST und $_GET zugreifen. Erhalten Sie relevante Parameter in $_REQUEST.
4. Dateisystembeschränkungen
Sie können open_basedir verwenden, um die Systemverzeichnisse einzuschränken, auf die PHP zugreifen kann.
Wenn Sie den folgenden Skriptcode (hack.php) ohne Einschränkungen verwenden, können Sie das Systempasswort erhalten.
<?php echo file_get_contents('/etc/passwd');
Wenn festgelegt, wird ein Fehler gemeldet und relevante Informationen werden nicht mehr angezeigt, sodass kein illegaler Zugriff auf das Systemverzeichnis b erfolgt:
PHP Warning: file_get_contents(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www) in /var/www/hack.php on line 3
Warning: file_get_contents(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www) in /var/www/hack.php on line 3 PHP Warning: file_get_contents(/etc/passwd): failed to open stream: Operation not permitted in /var/www/hack.php on line 3
Warning: file_get_contents(/etc/passwd): failed to open stream: Operation not permitted in /var/www/hack.php on line 3
Die Einstellungsmethode ist wie folgt:
open_basedir=/var/www
5 .Remote-Ressourcenzugriff verbieten.
allow_url_fopen=Off allow_url_include=Off
Andere Sicherheitserweiterungen von Drittanbietern6.Suhosin。
Suhosin ist ein PHP Programmschutzsystem. Es wurde ursprünglich entwickelt, um Server und Benutzer vor bekannten oder unbekannten Fehlern in PHP-Programmen und dem PHP-Kern zu schützen (es fühlt sich recht praktisch an und kann einigen kleineren Angriffen widerstehen). Suhosin besteht aus zwei unabhängigen Teilen, die einzeln oder kombiniert verwendet werden können.
Der erste Teil ist ein Patch für den PHP-Kern, der Pufferüberlauf oder Formatstring-Schwächen widerstehen kann (dies ist ein Muss!);
Der zweite Teil ist eine leistungsstarke PHP-Erweiterung (die Erweiterung Modus ist sehr gut, einfach zu installieren...), inklusive aller anderen Schutzmaßnahmen.
wget http://download.suhosin.org/suhosin-0.9.37.1.tar.gztar zxvf suhosin-0.9.37.1.tar.gz cd suhosin-0.9.37.1/phpize./configure --with-php-config=/usr/local/bin/php-config make make install 在php.ini下加入suhosin.so即可 extension=suhosin.so
Funktionen
Laufzeitschutz
Session 保护
SESSION里的数据通常在服务器上的明文存放的。这里通过在服务端来加解密$_SESSION
。这样将Session的句柄存放在Memcache或数据库时,就不会被轻易攻破,很多时候我们的session数据会存放一些敏感字段。
这个特性在缺省情况下是启用的,也可以通过php.ini来修改:
suhosin.session.encrypt = On suhosin.session.cryptkey = zuHywawAthLavJohyRilvyecyondOdjo suhosin.session.cryptua = On suhosin.session.cryptdocroot = On ;; IPv4 only suhosin.session.cryptraddr = 0suhosin.session.checkraddr = 0
Cookie加密
Cookie在客户端浏览器的传输的HTTP头也是明文的。通过加密cookie,您可以保护您的应用程序对众多的攻击,如
Cookie加密在php.ini中的配置:
suhosin.cookie.encrypt = On ;; the cryptkey should be generated, e.g. with 'apg -m 32'suhosin.cookie.cryptkey = oykBicmyitApmireipsacsumhylWaps1 suhosin.cookie.cryptua = On suhosin.cookie.cryptdocroot = On ;; whitelist/blacklist (use only one) ;suhosin.cookie.cryptlist = WALLET,IDEAS suhosin.cookie.plainlist = LANGUAGE ;; IPv4 only suhosin.cookie.cryptraddr = 0suhosin.cookie.checkraddr = 0Blocking Functions 测试##默认PHP的Session保存在tmp路径下ll -rt /tmp | grep sess##扩展未开启时查看某条sesson的数据cat sess_ururh83qvkkhv0n51lg17r4aj6//记录是明文的##扩展开启后查看某条sesson 的数据cat sess_ukkiiiheedupem8k4hheo0b0v4//记录是密文的可见加密对安全的重要性
阻断功能
白名单
##显式指定指定白名单列表 suhosin.executor.func.whitelist = htmlentities,htmlspecialchars,base64_encode suhosin.executor.eval.whitelist = htmlentities,htmlspecialchars,base64_encode <?php echo htmlentities('<test>'); eval('echo htmlentities("<test>");');
黑名单
##显式指定指定黑名单列表 suhosin.executor.func.blacklist = assert,unserialize,exec,popen,proc_open,passthru,shell_exec,system,hail,parse_str,mt_srand suhosin.executor.eval.whitelist = assert,unserialize,exec,popen,proc_open,passthru,shell_exec,system,hail,parse_str,mt_srand 通过日志来查看非法调用黑白名单 suhosin.simulation = 1 suhosin.log.file = 511 suhosin.log.file.name = /tmp/suhosin-alert.log
其他配置项
suhosin.executor.include.max_traversal 扩目录的最大深度,可以屏蔽切换到非法路径 suhosin.executor.include.whitelist 允许包含的URL,用逗号分隔 suhosin.executor.include.blacklist 禁止包含的URL,用逗号分隔 suhosin.executor.disable_eval = On 禁用eval函数 suhosin.upload.max_uploads suhosin.upload.disallow_elf suhosin.upload.disallow_binary suhosin.upload.remove_binary suhosin.upload.verification_script 上传文件检查脚本,可以来检测上传的内容是否包含webshell特征
使用Suhosin,你可以得到一些错误日志,你能把这些日志放到系统日志中,也可以同时写到其他任意的日志文件中去;
它还可以为每一个虚拟主机创建黑名单和白名单;
可以过滤GET和POST请求、文件上载和cookie;
你还能传送加密的会话和cookie,可以设置不能传送的存储上线等等;
它不像原始的PHP强化补丁,Suhosin是可以被像Zend Optimizer这样的第三方扩展软件所兼容的。
Das obige ist der detaillierte Inhalt vonWas sind die Sicherheitseinstellungen für PHP?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!