PHP セキュリティの向上: Modified_JavaScript スキルが必要な 8 つの PHP デフォルト設定
明らかに、PHP Mysql Apache は非常に人気のある Web テクノロジであり、この組み合わせは強力でスケーラブルであり、無料です。ただし、PHP のデフォルト設定は、すでにオンラインになっている Web サイトにはあまり適していません。デフォルトの設定ファイルを変更して、PHPのセキュリティポリシーを強化しましょう!
0x01: リモート URL ファイル処理機能を無効にします
fopen のようなファイル処理関数は、ファイルの rul パラメータを受け入れます (例: fopen('http://www.yoursite.com','r'))。この関数はリモート リソースに簡単にアクセスできます。ただし、これは非常に重要なセキュリティ上の脅威です。ファイル機能を制限するには、この機能を無効にすることをお勧めします。
allow_url_fopen = オフ
0x02: グローバル変数の登録を無効にします
4.2.0 より前のバージョンでは、PHP は register_globals と呼ばれるグローバル変数を使用します。幸いなことに、この機能により、攻撃者がグローバル変数を簡単に操作できるようになります。 4.2.0 ではデフォルトで無効になっています。これは非常に危険なので、いかなる状況でも無効にする必要があります。一部のスクリプトでこの機能が必要な場合、そのスクリプトには潜在的なセキュリティ上の脅威があります。 pnp.ini を変更してこの機能を無効にします:
register_globals = オフ
0x03: PHP の読み取りおよび書き込み操作を制限します
多くの Web 開発プロセスでは、php スクリプトは /var/www/htdocs/files などのローカル ファイル システムの読み取りおよび書き込みを行う必要があります。セキュリティを強化するために、ローカル ファイルの読み取りおよび書き込み権限を変更できます。 :
open_basedir = /var/www/htdocs/files
0x04: ポーズ制限
PHP の実行時間、メモリ使用量、データの投稿とアップロードを制限することが最善の戦略です。次のように設定できます。
max_execution_time = 30 スクリプトの最大実行時間
max_input_time = 60 入力の解析に費やした最大時間
Memory_limit = 16M ; 1 つのスクリプトで使用される最大メモリ
Upload_max_filesize = 2M アップロードファイルの最大サイズ
post_max_size = 8M ; 最大投稿サイズ
0x05: エラー メッセージを無効にし、ログを有効にします
デフォルト設定では、PHP はアプリケーションの開発プロセス中にエラー メッセージをブラウザに出力します。このデフォルト設定は、ユーザーに次のようなセキュリティ情報を漏洩する可能性もあります。インストールパスとユーザー名。すでに開発されている Web サイトでは、エラー メッセージを無効にして、エラー メッセージをログ ファイルに出力することをお勧めします。
表示エラー = オフ
log_errors = オン
0x06: PHP ファイルを非表示
隠し PHP ファイルがない場合は、次のようなさまざまな方法でサーバーの PHP バージョンを取得できます。http://www.example.com/script.php?=PHPB8B5F2A0-3C92-11d3- A3A9- 4C7B08C10000
明らかに、ユーザーが Web サイトサーバーの PHP バージョンを直接取得できないようにする必要があります。幸いなことに、php.ini にはこの機能を無効にするスイッチがあります。
Expose_php = オフ
0x07: セーフモード構成
デフォルトでは、PHP はセーフ モードで設定できます。このモードでは、Apache はファイル、環境変数、バイナリ プログラムへのアクセスを禁止します。最大の問題は、ファイルの所有者のみがアクセスできることです。このプログラムを開発するために多くの開発者が協力している場合、この設定は現実的ではありません。また、他のプログラムが PHP ファイルにアクセスできないという問題もあります。ファイルを編集する場合、次の構成により、単一ユーザーではなくユーザー グループに対するファイルのアクセス許可を変更できます。
セーフモード = オフ
safe_mode_gid = オン
safe_mode_gid を有効にすることで、Apache を使用するこのグループは PHP ファイルにアクセスできるようになります。セーフ モードはバイナリの実行を防ぐのにも非常に効果的ですが、開発者は特定の状況下で一部のバイナリを実行できるようにしたい場合があります。これらの特殊なケースでは、バイナリ ファイルを (/var/www/binaries) などのディレクトリに配置し、次の設定を行うことができます:
safe_mode_exec_dir = /var/www/binaries
最後に、次の設定を通じてサーバーの環境変数にアクセスし、「_」で区切られたプレフィックスを指定して、指定されたプレフィックスを持つ環境変数のみにアクセスできるようにします。
safe_mode_allowed_env_vars = PHP_
0x08: 特定のサフィックス
を持つファイルへのパブリック ユーザー アクセスを制限しますセキュリティ上の理由により、mysql 接続情報などの機密情報が含まれる .inc 接尾辞を持つファイルなど、特定の接尾辞名を持つ多くのファイルには、一般ユーザーはアクセスできません。すべてのユーザーがこの設定ファイルにアクセスできます。Web サイトのセキュリティを強化するには、..htaccess ファイルで次の設定を行う必要があります:
<ファイルマッチ>
注文の許可、拒否
全員から拒否
0x09: 概要
PHP のデフォルト設定は開発者向けであり、Web サイトが多数のユーザーを対象としている場合は、PHP を再設定することをお勧めします。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
7316
9
1625
14
1349
46
1261
25
1208
29
PHP セキュリティ保護: ID 偽造攻撃を防止します。
Jun 24, 2023 am 11:21 AM
インターネットの継続的な発展に伴い、オンラインでのやり取りやデータ送信を伴うビジネスがますます増えており、必然的にセキュリティ問題が発生します。最も一般的な攻撃方法の 1 つは、ID 偽造攻撃 (IdentityFraud) です。この記事では、PHP セキュリティ保護で ID 偽造攻撃を防止し、システムのセキュリティを向上させる方法を詳しく紹介します。 ID偽造攻撃とは何ですか?簡単に言うと、なりすましとも呼ばれる ID 偽造攻撃 (IdentityFraud) は、攻撃者の側に立つことを指します。
PHP のセキュリティ監査ガイド
Jun 11, 2023 pm 02:59 PM
Web アプリケーションの人気が高まるにつれて、セキュリティ監査の重要性がますます高まっています。 PHP は広く使用されているプログラミング言語であり、多くの Web アプリケーションの基礎です。この記事では、開発者がより安全な Web アプリケーションを作成できるように、PHP のセキュリティ監査ガイドラインを紹介します。入力検証 入力検証は、Web アプリケーションの最も基本的なセキュリティ機能の 1 つです。 PHP には入力のフィルタリングと検証を行うための多くの組み込み関数が用意されていますが、これらの関数は入力のセキュリティを完全に保証するものではありません。したがって、開発者が必要とするのは、
PHP 言語開発におけるクロスサイト スクリプティング攻撃のセキュリティ リスクを回避する
Jun 10, 2023 am 08:12 AM
インターネット技術の発展に伴い、ネットワークセキュリティの問題はますます注目を集めています。その中でも、クロスサイト スクリプティング (XSS) は一般的なネットワーク セキュリティ リスクです。 XSS 攻撃はクロスサイト スクリプティングに基づいており、攻撃者は Web サイトのページに悪意のあるスクリプトを挿入し、ユーザーを騙したり、他の方法で悪意のあるコードを埋め込んだりして違法な利益を得ることで、重大な結果を引き起こします。ただし、PHP 言語で開発された Web サイトの場合、XSS 攻撃を回避することは非常に重要なセキュリティ対策です。なぜなら
PHP 開発におけるセキュリティの脆弱性と攻撃対象領域に対処する方法
Oct 09, 2023 pm 09:09 PM
PHP 開発におけるセキュリティの脆弱性と攻撃対象領域を解決する方法 PHP は一般的に使用される Web 開発言語ですが、開発プロセス中にセキュリティ上の問題が存在するため、ハッカーによって簡単に攻撃され悪用されます。 Web アプリケーションの安全性を維持するには、PHP 開発におけるセキュリティの脆弱性と攻撃対象領域を理解し、対処する必要があります。この記事では、いくつかの一般的なセキュリティ脆弱性と攻撃方法を紹介し、これらの問題を解決するための具体的なコード例を示します。 SQL インジェクション SQL インジェクションとは、悪意のある SQL コードをユーザー入力に挿入して、
PHP セキュリティ保護: 悪意のある BOT 攻撃を防止します。
Jun 24, 2023 am 08:19 AM
インターネットの急速な発展に伴い、サイバー攻撃の数と頻度も増加しています。中でも悪意のあるBOT攻撃は、ネットワーク攻撃の最も一般的な手法であり、脆弱性や脆弱なパスワードを悪用してWebサイトのバックグラウンドログイン情報を取得し、Webサイト上でデータの改ざんや広告の埋め込みなどの悪意のある操作を実行します。したがって、PHP 言語を使用して開発された Web サイトでは、特に悪意のある BOT 攻撃を防ぐために、セキュリティ保護対策を強化することが非常に重要です。 1. パスワードセキュリティの強化 パスワードセキュリティは悪意のあるBOT攻撃を防ぐためのものです。
PHP セキュリティ保護: DDoS 攻撃を回避する
Jun 24, 2023 am 11:21 AM
インターネット技術の急速な発展に伴い、Web サイトのセキュリティ問題はますます重要になっています。 DDoS 攻撃は、特に PHP 言語を使用する Web サイトにとって最も一般的なセキュリティ脅威の 1 つです。これは、PHP が動的言語であるため、さまざまな形式の攻撃に対して脆弱であるためです。この記事では、Web サイト管理者が DDoS 攻撃のリスクを軽減するのに役立つ、PHP Web サイト保護テクニックをいくつか紹介します。 1. CDN (コンテンツ配信ネットワーク) の使用 CDN は、Web サイト管理者が Web サイトのコンテンツを配布し、静的リソースを CDN キャッシュに保存してコストを削減するのに役立ちます。
PHP コードのリファクタリングと一般的なセキュリティ脆弱性の修正
Aug 07, 2023 pm 06:01 PM
PHP コードのリファクタリングと一般的なセキュリティ脆弱性の修正 はじめに: PHP は、その柔軟性と使いやすさにより、サーバーサイドのスクリプト言語として広く使用されています。しかし、適切なコーディングとセキュリティ意識が欠如しているため、多くの PHP アプリケーションはさまざまなセキュリティ脆弱性を抱えています。この記事の目的は、いくつかの一般的なセキュリティ脆弱性を紹介し、PHP コードをリファクタリングして脆弱性を修正するためのベスト プラクティスを共有することです。 XSS 攻撃 (クロスサイト スクリプティング攻撃) XSS 攻撃は、最も一般的なネットワーク セキュリティの脆弱性の 1 つであり、攻撃者は Web アプリケーションに悪意のあるスクリプトを挿入します。
ミニプログラム開発における PHP のセキュリティ保護と攻撃の防止
Jul 07, 2023 am 08:55 AM
ミニ プログラム開発における PHP のセキュリティ保護と攻撃の防止 モバイル インターネットの急速な発展に伴い、ミニ プログラムは人々の生活の重要な部分になりました。 PHP は、強力で柔軟なバックエンド開発言語として、小規模プログラムの開発にも広く使用されています。ただし、セキュリティの問題は、プログラム開発において常に注意が必要な側面です。この記事では、小規模プログラム開発における PHP のセキュリティ保護と攻撃防止に焦点を当て、いくつかのコード例を示します。 XSS (クロスサイト スクリプティング攻撃) の防止 XSS 攻撃とは、ハッカーが Web ページに悪意のあるスクリプトを挿入することを指します。
