interface Web
js tutoriel
Améliorer la sécurité PHP : 8 configurations PHP par défaut qui doivent être modifiées_compétences Javascript
Améliorer la sécurité PHP : 8 configurations PHP par défaut qui doivent être modifiées_compétences Javascript
Évidemment, PHP Mysql Apache est une technologie Web très populaire. Cette combinaison est puissante, évolutive et gratuite. Cependant, les paramètres par défaut de PHP ne conviennent pas aux sites Web déjà en ligne. Renforçons la politique de sécurité de PHP en modifiant le fichier de configuration par défaut !
0x01 : Désactiver la fonction de traitement des fichiers URL à distance
La fonction de traitement de fichiers comme fopen accepte le paramètre rul du fichier (par exemple : fopen('http://www.yoursite.com','r')).). Cette fonction peut facilement accéder aux ressources distantes. Cependant, il s'agit d'une menace de sécurité très importante. C'est un bon choix de désactiver cette fonctionnalité pour limiter la fonction de fichier. Apportez les modifications suivantes dans le fichier php.ini :
.
allow_url_fopen = Désactivé
0x02 : Désactiver l'enregistrement des variables globales
Dans les versions antérieures à 4.2.0, PHP utilise des variables globales en entrée. Cette fonction s'appelle register_globals. Elle pose de nombreux problèmes de sécurité dans les applications Web car elle permet aux attaquants de manipuler facilement les variables globales dans certaines situations, heureusement cette fonctionnalité. est désactivé par défaut dans la version 4.2.0. Il est très dangereux et doit être désactivé en toutes circonstances. Si certains scripts nécessitent cette fonctionnalité, ils présentent alors une menace potentielle pour la sécurité. Modifiez pnp.ini pour désactiver cette fonctionnalité :
register_globals = Désactivé
0x03 : Limiter les opérations de lecture et d'écriture PHP
Dans de nombreux processus de développement Web, les scripts php doivent lire et écrire sur le système de fichiers local, tel que /var/www/htdocs/files. Afin d'améliorer la sécurité, vous pouvez modifier les autorisations de lecture et d'écriture des fichiers locaux. :
open_basedir = /var/www/htdocs/files
0x04 : Limite de pose
Limiter le temps d'exécution de PHP, l'utilisation de la mémoire, la publication et le téléchargement des données est la meilleure stratégie. Vous pouvez la configurer comme suit :
max_execution_time = 30 ; Temps d'exécution maximum du script
max_input_time = 60 ; Temps maximum passé à analyser l'entrée
memory_limit = 16M ; Mémoire maximale utilisée par un script
upload_max_filesize = 2M ; Taille maximale du fichier de téléchargement
post_max_size = 8M ; Taille maximale de la publication
0x05 : Désactiver les messages d'erreur et activer la journalisation
Dans le paramètre par défaut, PHP affichera un message d'erreur au navigateur. Pendant le processus de développement de l'application, ce paramètre par défaut est la configuration la plus raisonnable. Cependant, il peut également divulguer certaines informations de sécurité à l'utilisateur, telles que. le chemin d'installation et le nom d'utilisateur. Sur les sites Web déjà développés, il est préférable de désactiver les messages d'erreur et de les afficher dans un fichier journal.
display_errors = Désactivé
log_errors = Activé
0x06 : Masquer le fichier PHP
S'il n'y a pas de fichier PHP caché, nous pouvons obtenir la version PHP du serveur par différentes méthodes, telles que : http://www.example.com/script.php?=PHPB8B5F2A0-3C92-11d3- A3A9-4C7B08C10000
Nous ne souhaitons évidemment pas que les utilisateurs puissent obtenir directement la version PHP du serveur de votre site Web. Heureusement, il existe un commutateur dans php.ini pour désactiver cette fonctionnalité :
expose_php = Désactivé
0x07 : Configuration du mode sans échec
Par défaut, PHP peut être configuré en mode sans échec. Dans ce mode, Apache interdit l'accès aux fichiers, aux variables d'environnement et aux programmes binaires. En mode sans échec, le plus gros problème est que seul le propriétaire du fichier peut y accéder. Fichier PHP. Si de nombreux développeurs travaillent ensemble pour développer ce programme, ce paramètre n'est pas pratique. Lorsque vous devez accéder à un fichier PHP, vous devez modifier le propriétaire du fichier. Un autre problème est que d'autres programmes ne peuvent pas y accéder. fichier, la configuration suivante peut modifier les autorisations du fichier sur le groupe d'utilisateurs au lieu d'un seul utilisateur.
safe_mode = Désactivé
safe_mode_gid = Activé
En activant safe_mode_gid, ce groupe utilisant Apache pourra accéder aux fichiers PHP. Le mode sans échec est également très efficace pour empêcher l'exécution des fichiers binaires. Cependant, les développeurs peuvent souhaiter pouvoir exécuter certains fichiers binaires dans certaines circonstances. Dans ces cas particuliers, les fichiers binaires peuvent être placés dans un répertoire, tel que (/var/www/binaries), et les paramètres suivants peuvent être définis :
safe_mode_exec_dir = /var/www/binaries
Enfin, grâce aux paramètres suivants, vous pouvez accéder aux variables d'environnement du serveur, fournir un préfixe séparé par "_", afin que seules les variables d'environnement avec le préfixe spécifié soient accessibles :
safe_mode_allowed_env_vars = PHP_
0x08 : Restreindre l'accès des utilisateurs publics aux fichiers avec des suffixes spécifiques
Pour des raisons de sécurité, de nombreux fichiers portant des noms de suffixe spécifiques ne sont pas accessibles aux utilisateurs publics, tels que les fichiers portant le suffixe .inc, qui contiennent des informations sensibles, telles que les informations de connexion MySQL, alors s'il n'y a pas de configuration appropriée. each Chaque utilisateur peut accéder à ce fichier de configuration. Afin d'améliorer la sécurité du site Web, vous devez configurer les éléments suivants dans le fichier ..htaccess :
Commande autoriser, refuser
Nier de tous
0x09 : Résumé
La configuration par défaut de PHP est destinée aux développeurs. Si le site Web est destiné à un grand nombre d'utilisateurs, il est recommandé de reconfigurer PHP.
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
AI Hentai Generator
Générez AI Hentai gratuitement.
Article chaud
Outils chauds
Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Sujets chauds
Protection de sécurité PHP : prévenir les attaques de falsification d'identité
Jun 24, 2023 am 11:21 AM
Avec le développement continu d'Internet, de plus en plus d'entreprises impliquent des interactions et des transmissions de données en ligne, ce qui entraîne inévitablement des problèmes de sécurité. L’une des méthodes d’attaque les plus courantes est la contrefaçon d’identité (IdentityFraud). Cet article présentera en détail comment empêcher les attaques de falsification d'identité dans la protection de sécurité PHP afin d'assurer une meilleure sécurité du système. Qu’est-ce qu’une attaque en usurpation d’identité ? En termes simples, une attaque de contrefaçon d’identité (IdentityFraud), également connue sous le nom d’usurpation d’identité, fait référence au fait de se tenir du côté de l’attaquant.
Guide d'audit de sécurité en PHP
Jun 11, 2023 pm 02:59 PM
À mesure que les applications Web deviennent de plus en plus populaires, l’audit de sécurité devient de plus en plus important. PHP est un langage de programmation largement utilisé et constitue la base de nombreuses applications Web. Cet article présentera les directives d'audit de sécurité en PHP pour aider les développeurs à écrire des applications Web plus sécurisées. Validation des entrées La validation des entrées est l'une des fonctionnalités de sécurité les plus élémentaires des applications Web. Bien que PHP fournisse de nombreuses fonctions intégrées pour filtrer et valider les entrées, ces fonctions ne garantissent pas entièrement la sécurité de l'entrée. Les développeurs ont donc besoin
Évitez les risques de sécurité liés aux attaques de scripts intersites dans le développement du langage PHP
Jun 10, 2023 am 08:12 AM
Avec le développement de la technologie Internet, les problèmes de sécurité des réseaux attirent de plus en plus l’attention. Parmi eux, le cross-site scripting (XSS) constitue un risque courant pour la sécurité des réseaux. Les attaques XSS sont basées sur des scripts intersites. Les attaquants injectent des scripts malveillants dans les pages d'un site Web pour obtenir des avantages illégaux en trompant les utilisateurs ou en implantant du code malveillant par d'autres méthodes, entraînant de graves conséquences. Cependant, pour les sites Web développés en langage PHP, éviter les attaques XSS est une mesure de sécurité extrêmement importante. parce que
Comment remédier aux vulnérabilités de sécurité et aux surfaces d'attaque dans le développement PHP
Oct 09, 2023 pm 09:09 PM
Comment résoudre les vulnérabilités de sécurité et les surfaces d'attaque dans le développement PHP. PHP est un langage de développement Web couramment utilisé. Cependant, pendant le processus de développement, en raison de l'existence de problèmes de sécurité, il est facilement attaqué et exploité par les pirates. Afin de garantir la sécurité des applications Web, nous devons comprendre et traiter les vulnérabilités de sécurité et les surfaces d'attaque dans le développement PHP. Cet article présentera certaines vulnérabilités de sécurité et méthodes d'attaque courantes, et donnera des exemples de code spécifiques pour résoudre ces problèmes. Injection SQL L'injection SQL fait référence à l'insertion de code SQL malveillant dans l'entrée utilisateur pour
Protection de sécurité PHP : prévenir les attaques malveillantes de BOT
Jun 24, 2023 am 08:19 AM
Avec le développement rapide d’Internet, le nombre et la fréquence des cyberattaques augmentent également. Parmi elles, l'attaque BOT malveillante est une méthode d'attaque réseau très courante. Elle obtient des informations de connexion en arrière-plan du site Web en exploitant des vulnérabilités ou des mots de passe faibles, puis effectue des opérations malveillantes sur le site Web, telles que la falsification des données, l'implantation de publicités, etc. Par conséquent, pour les sites Web développés en langage PHP, il est très important de renforcer les mesures de protection de sécurité, notamment pour prévenir les attaques malveillantes de BOT. 1. Renforcer la sécurité des mots de passe. La sécurité des mots de passe consiste à empêcher les attaques malveillantes de BOT.
Protection de sécurité PHP : évitez les attaques DDoS
Jun 24, 2023 am 11:21 AM
Avec le développement rapide de la technologie Internet, les problèmes de sécurité des sites Web deviennent de plus en plus importants. Les attaques DDoS sont l'une des menaces de sécurité les plus courantes, en particulier pour les sites Web utilisant le langage PHP, car PHP, en tant que langage dynamique, est vulnérable à différentes formes d'attaques. Cet article présentera quelques techniques de protection de sites Web PHP pour aider les administrateurs de sites Web à réduire le risque d'attaques DDoS. 1. Utilisation du CDN (Content Delivery Network) Le CDN peut aider les administrateurs de sites Web à distribuer le contenu du site Web et à stocker des ressources statiques dans le cache CDN pour réduire
Refactorisation du code PHP et correction des vulnérabilités de sécurité courantes
Aug 07, 2023 pm 06:01 PM
Refactorisation du code PHP et correction des vulnérabilités de sécurité courantes Introduction : En raison de la flexibilité et de la facilité d'utilisation de PHP, il est devenu un langage de script côté serveur largement utilisé. Cependant, en raison du manque de codage approprié et de sensibilisation à la sécurité, de nombreuses applications PHP souffrent de diverses vulnérabilités en matière de sécurité. Cet article vise à présenter certaines vulnérabilités de sécurité courantes et à partager quelques bonnes pratiques pour refactoriser le code PHP et corriger les vulnérabilités. Attaque XSS (cross-site scripting Attack) L'attaque XSS est l'une des vulnérabilités de sécurité réseau les plus courantes. Les attaquants insèrent des scripts malveillants dans les applications Web.
Protection de sécurité PHP et prévention des attaques dans le développement de mini-programmes
Jul 07, 2023 am 08:55 AM
Protection de la sécurité PHP et prévention des attaques dans le développement de mini-programmes Avec le développement rapide de l'Internet mobile, les mini-programmes sont devenus une partie importante de la vie des gens. En tant que langage de développement back-end puissant et flexible, PHP est également largement utilisé dans le développement de petits programmes. Cependant, les questions de sécurité ont toujours été un aspect auquel il faut prêter attention lors de l’élaboration des programmes. Cet article se concentrera sur la protection de la sécurité PHP et la prévention des attaques dans le développement de petits programmes, et fournira quelques exemples de code. XSS (cross-site scripting Attack) empêche les attaques XSS lorsque des pirates informatiques injectent des scripts malveillants dans des pages Web
