PHPのセキュリティ対策とセーフモード

PHP のセキュリティ モードは、共有サーバーのセキュリティ問題を解決するために確立されました。構造的には、PHP 層でこの問題を解決しようとするのは意味がありませんが、Web サーバー層とオペレーティング システム層を変更するのは非常に非現実的です。現在、非常に多くの人、特に ISP がセーフ モードを使用しています。

php.ini のセーフ モード設定は次のとおりです:

safe_mode boolean

PHP のセーフ モードを有効にするかどうか。

safe_mode_gid boolean

デフォルトでは、セーフ モードはファイルを開くときに UID 比較チェックを実行します。 GID 比較を緩和したい場合は、safe_mode_gid をオンにします。ファイルにアクセスするときにチェックするために UID (FALSE) または GID (TRUE) を使用するかどうか。

safe_mode_include_dir string

このディレクトリとそのサブディレクトリからファイルをインクルードする場合、UID/GID チェックをバイパスします (ディレクトリは include_path にあるか、フルパスでインクルードされている必要があります)。

PHP 4.2.0 以降、このディレクティブは、単なるディレクトリではなく、include_path ディレクティブと同様のスタイルでコロン (Windows ではセミコロン) で区切られたパスを受け入れることができます。指定された制限は、実際にはディレクトリ名ではなくプレフィックスです。これは、「safe_mode_include_dir = /dir/incl」により、「/dir/include」および「/dir/incls」が存在する場合、それらへのアクセスが許可されることを意味します。特定のディレクトリへのアクセスを制限したい場合は、「safe_mode_include_dir = /dir/incl/」のように末尾にスラッシュを追加します。このディレクティブの値が空の場合、PHP 4.2.3 以降で異なる UID/GID を持つファイルは含まれません。以前のバージョンでは、すべてのファイルを含めることができました。

safe_mode_exec_dir string

PHP がセーフ モードを使用する場合、system() およびその他のプログラム実行関数は、このディレクトリにないプログラムの起動を拒否します。 Windows を含め、ディレクトリ区切り文字として / を使用する必要があります。

safe_mode_allowed_env_vars string

特定の環境変数を設定すると、セキュリティ上のギャップが生じる可能性があります。このディレクティブには、カンマで区切られたプレフィックスのリストが含まれます。セーフ モードでは、ユーザーは、ここで指定されたプレフィックスが名前に付いている環境変数のみを変更できます。デフォルトでは、ユーザーは PHP_ で始まる環境変数のみを設定できます (例: PHP_FOO = BAR)。

注:

このディレクティブが空の場合、PHP ではユーザーが任意の環境変数を変更できるようになります。

safe_mode_protected_env_vars string

このコマンドには、エンドユーザーが putenv() を使用して変更できない環境変数のカンマ区切りのリストが含まれています。これらの変数は、safe_mode_allowed_env_vars で許可された変更が設定されている場合でも変更できません。

safe_mode が on に設定されている場合、PHP はファイル関数またはそのディレクトリを通じて、現在のスクリプトの所有者が操作対象のファイルの所有者と一致するかどうかを確認します。例:

-rw-rw-r--    1 rasmus   rasmus       33 Jul  1 19:20 script.php
-rw-r--r--    1 root     root       1116 May 26 18:01 /etc/passwd

script.php を実行する

<?php
readfile(&#39;/etc/passwd&#39;);
?>

セーフ モードが有効になっている場合、次のエラーが発生します:

Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not
allowed to access /etc/passwd owned by uid 0 in /docroot/script.php on line 2

同時に、緩和された GID チェックで十分な環境もあるかもしれませんが、厳密な UID チェックは必要ありません。は適切ではありません。このチェックは、safe_mode_gid オプションで制御できます。 [オン] に設定すると、緩和された GID チェックが実行され、[オフ] (デフォルト) に設定すると、UID チェックが実行されます。

safe_mode を除き、open_basedir オプションが設定されている場合、すべてのファイル操作は指定されたディレクトリに制限されます。例:

<Directory /docroot>
  php_admin_value open_basedir /docroot
</Directory>

open_basedir オプションを設定した後に同じ script.php を実行すると、結果は次のようになります:

Warning: open_basedir restriction in effect. File is in wrong directory in
/docroot/script.php on line 2

特定の関数を個別にブロックすることもできます。 disable_functions オプションは php.ini ファイルの外部では使用できないことに注意してください。つまり、httpd.conf ファイル内の別の仮想ホストや別のディレクトリによって機能をブロックすることはできません。 php.ini ファイルに次の内容を追加すると、

disable_functions readfile,system

、次の出力が得られます:

Warning: readfile() has been disabled for security reasons in
/docroot/script.php on line 2

警告
もちろん、これらの PHP 制限は実行可能ファイルには適用されません。