Aide-mémoire de configuration de sécurité PHP maintenu par OWASP

Introduction

Le but de cette page est d'aider ceux qui configurent PHP et les serveurs Web qui l'exécutent à garantir sa sécurité.

Vous trouverez ci-dessous les informations de configuration correctes pour le fichier php.ini.

php.ini

Certains des paramètres suivants doivent être adaptés à votre système, notamment session.save_path, session.cookie_path (par exemple : /var/www /monsite) et session.cookie_domain (par exemple : ExempleSite.com).

Vous devez également exécuter PHP 7.2 ou supérieur. Si vous utilisez PHP 7.0 et PHP 7.1, vous utiliserez des valeurs légèrement différentes à quelques endroits ci-dessous (voir les commentaires en ligne).

Enfin, consultez la documentation PHP pour une référence sur chaque valeur dans le fichier de configuration php.ini.

Vous pouvez trouver une copie de la configuration suivante dans un fichier php.ini prêt à l'emploi ici .

Gestion des erreurs PHP

expose_php              = Off
error_reporting         = E_ALL
display_errors          = Off
display_startup_errors  = Off
log_errors              = On
error_log               = /valid_path/PHP-logs/php_error.log
ignore_repeated_errors  = Off

Veuillez noter : vous devez définir display_errors sur Off dans l'environnement de production, et il est préférable de développer une bonne habitude de vérifier ces journaux fréquemment.

Paramètres communs PHP

doc_root                = /path/DocumentRoot/PHP-scripts/
open_basedir            = /path/DocumentRoot/PHP-scripts/
include_path            = /path/PHP-pear/
extension_dir           = /path/PHP-extensions/
mime_magic.magicfile    = /path/PHP-magic.mime
allow_url_fopen         = Off
allow_url_include       = Off
variables_order         = "GPCS"
allow_webdav_methods    = Off
session.gc_maxlifetime  = 600

allow_url_* est sujet aux vulnérabilités complètes LFI et RFI.

Traitement des fichiers de téléchargement PHP

file_uploads            = On
upload_tmp_dir          = /path/PHP-uploads/
upload_max_filesize     = 2M
max_file_uploads        = 2

Si votre application n'utilise pas la fonction de téléchargement de fichiers, ou si le seul moyen pour les utilisateurs de saisir des téléchargements est via un formulaire qui ne le fait pas contenir des pièces jointes aux documents Pour soumettre, file_uploads doit être défini sur Off.

Traitement des exécutables PHP

enable_dl               = Off
disable_functions       = system, exec, shell_exec, passthru, phpinfo, show_source, highlight_file, popen, proc_open, fopen_with_path, dbmopen, dbase_open, putenv, move_uploaded_file, chdir, mkdir, rmdir, chmod, rename, filepro, filepro_rowcount, filepro_retrieve, posix_mkfifo
# 请查看：http://ir.php.net/features.safe-mode
disable_classes         =

Les méthodes et classes ci-dessus sont dangereuses en PHP. Vous devez désactiver les méthodes et classes qui ne sont pas utilisées.

Traitement de la session PHP

Il y a certaines valeurs auxquelles il faut prêter attention dans les paramètres de session. C'est un bon exercice pour changer le nom de la session. à un nouveau.

 session.save_path                = /path/PHP-session/
 session.name                     = myPHPSESSID
 session.auto_start               = Off
 session.use_trans_sid            = 0
 session.cookie_domain            = full.qualified.domain.name
 #session.cookie_path             = /application/path/
 session.use_strict_mode          = 1
 session.use_cookies              = 1
 session.use_only_cookies         = 1
 session.cookie_lifetime          = 14400 # 4小时 
 session.cookie_secure            = 1
 session.cookie_httponly          = 1
 session.cookie_samesite          = Strict
 session.cache_expire             = 30 
 session.sid_length               = 256
 session.sid_bits_per_character   = 6 # PHP 7.2+
 session.hash_function            = 1 # PHP 7.0-7.1
 session.hash_bits_per_character  = 6 # PHP 7.0-7.1

Plus de contrôles pour les risques de sécurité

session.referer_check   = /application/path
memory_limit            = 50M
post_max_size           = 20M
max_execution_time      = 60
report_memleaks         = On
track_errors            = Off
html_errors             = Off

Adresse originale en anglais :

https://github.com/OWASP/ CheatSheetSeries/blob/master/cheatsheets /PHP_Configuration_Cheat_Sheet.md

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!