Comment renforcer la sécurité des sites Web en langage PHP

(*-*)浩
Libérer: 2023-02-25 20:08:01
original
2470 Les gens l'ont consulté

Utilisez Suhosin pour renforcer la sécurité du langage de script PHP

PHP est un langage de script de site Web très populaire, mais sa sécurité inhérente est très faible. Plan d'amélioration PHP (projet Hardened-PHP) et le nouveau plan Suhosi, Suhosin fournit une configuration de sécurité PHP améliorée.

Comment renforcer la sécurité des sites Web en langage PHP

PHP est un langage de script de site Web controversé mais le plus populaire. Il est populaire en raison de son prix bas. Cependant, ce faible prix a conduit à de plus en plus d'applications de sites Web écrites en PHP, et en même temps, de plus en plus de PHP lui-même est exposé en termes de vulnérabilités de sécurité. les fonctionnalités montrent que PHP est extrêmement peu fiable. (Apprentissage recommandé : Tutoriel vidéo PHP)

Mais en même temps, ce langage de script lui-même est très flexible, et il peut être facilement implémenté en l'utilisant, mais le code est gonflé et peu sûr, mais il compte encore de nombreux utilisateurs.

Vous pouvez supposer qu'en fonction de la situation réelle, à maintes reprises, divers logiciels d'application incarnent cette vulnérabilité : vulnérables à l'injection SQL, aux scripts intersites, à l'exécution arbitraire d'instructions, etc.

Étant donné que les mesures de sécurité PHP intégrées telles que safe_mode et open_basedir seront ignorées, le plan d'amélioration PHP crée un PHP plus sécurisé et effectue également des contrôles de validation sur PHP.

À l'origine, celles-ci étaient réalisées avec des correctifs PHP améliorés qui nécessitaient d'appliquer des correctifs et de recompiler PHP lui-même. Récemment, le PHP Enhancement Project a publié un nouveau projet appelé Suhosin.

Suhosin est un système de protection de programme PHP. Il est conçu pour protéger les serveurs et les utilisateurs contre les failles connues et inconnues des programmes PHP et du noyau PHP.

Sohosin se compose de deux parties : La première partie est un patch PHP. Ce patch renforce le moteur Zend lui-même pour éviter d'éventuels débordements de tampon et prévenir les faiblesses associées. La deuxième partie est l'extension de Suhosin, qui est un module autonome pour PHP. Les deux parties peuvent fonctionner ensemble ou l’extension peut fonctionner indépendamment.

Les développeurs ne veulent pas avoir à maintenir leurs propres paramètres d'installation PHP pour des raisons de sécurité et ils préfèrent certainement utiliser PHP directement sur la distribution Linux fournie par le fournisseur, en utilisant des modules d'extension pour fournir plus. de nombreuses fonctionnalités de sécurité que PHP lui-même ne peut pas avoir.

Le module d'extension est facile à installer ; il peut également être installé via PECL, ou compilé et installé après téléchargement :

    $ tar xvzf suhosin-0.9.17
  $ cd suhosin-0.9.17
  $ phpize
  $ ./configure
  $ make
  $ sudo make install
Copier après la connexion

Pour utiliser suhosin, vous devez également vous devez ajouter /etc/ php.ini, comme indiqué ci-dessous :

extension=suhosin.so
Copier après la connexion

Les options de configuration par défaut sont suffisantes pour la plupart des gens. Afin de renforcer les paramètres, vous pouvez ajouter les valeurs correspondantes​​dans /etc/php.ini. Les différentes options de configuration sont présentées en détail sur le site Web. Ces instructions peuvent vous aider lors de la configuration initiale.

En utilisant Suhosin, vous pouvez obtenir des journaux d'erreurs. Vous pouvez mettre ces journaux dans le journal système, ou les écrire dans n'importe quel autre fichier journal en même temps ; il peut également créer des listes noires pour chaque hôte virtuel. et listes blanches ; peut filtrer les requêtes GET et POST, les téléchargements de fichiers et les cookies. Vous pouvez également envoyer des sessions et des cookies cryptés, configurer un stockage qui ne peut pas être envoyé, et bien plus encore.

Contrairement au patch de renforcement PHP d'origine, Suhosin est compatible avec les logiciels d'extension tiers comme Zend Optimizer.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Étiquettes associées:
php
source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal