백엔드 개발 PHP 튜토리얼 php安全配置 如何配置使其更安全_php技巧

php安全配置 如何配置使其更安全_php技巧

May 17, 2016 am 09:13 AM
보안 구성

另外,目前闹的轰轰烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保证安全,PHP代码编写是一方面,PHP的配置更是非常关键。

我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任何编辑工具打开/etc/local/apache2/conf/php.ini,如果你是采用其他方式安装,配置文件可能不在该目录。

(1) 打开php的安全模式

php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),

同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd,

但是默认的php.ini是没有打开安全模式的,我们把它打开:

safe_mode = on

(2) 用户组安全

当safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同

组的用户也能够对文件进行访问。

建议设置为:

safe_mode_gid = off

如果不进行设置,可能我们无法对我们服务器网站目录下的文件进行操作了,比如我们需要

对文件进行操作的时候。

(3) 安全模式下执行程序主目录

如果安全模式打开了,但是却是要执行某些程序的时候,可以指定要执行程序的主目录:

safe_mode_exec_dir = D:/usr/bin

一般情况下是不需要执行什么程序的,所以推荐不要执行系统程序目录,可以指向一个目录,

然后把需要执行的程序拷贝过去,比如:

safe_mode_exec_dir = D:/tmp/cmd

但是,我更推荐不要执行任何程序,那么就可以指向我们网页目录:

safe_mode_exec_dir = D:/usr/www

(4) 安全模式下包含文件

如果要在安全模式下包含某些公共文件,那么就修改一下选项:

safe_mode_include_dir = D:/usr/www/include/

其实一般php脚本中包含文件都是在程序自己已经写好了,这个可以根据具体需要设置。

(5) 控制php脚本能访问的目录

使用open_basedir选项能够控制PHP脚本只能访问指定的目录,这样能够避免PHP脚本访问

不应该访问的文件,一定程度上限制了phpshell的危害,我们一般可以设置为只能访问网站目录:

open_basedir = D:/usr/www

(6) 关闭危险函数

如果打开了安全模式,那么函数禁止是可以不需要的,但是我们为了安全还是考虑进去。比如,

我们觉得不希望执行包括system()等在那的能够执行命令的php函数,或者能够查看php信息的

phpinfo()等函数,那么我们就可以禁止它们:

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

如果你要禁止任何文件和目录的操作,那么可以关闭很多文件操作

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

以上只是列了部分不叫常用的文件处理函数,你也可以把上面执行命令函数和这个函数结合,

就能够抵制大部分的phpshell了。

(7) 关闭PHP版本信息在http头中的泄漏

我们为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中:

expose_php = Off

比如黑客在 telnet www.chinaz.com 80 的时候,那么将无法看到PHP的信息。

(8) 关闭注册全局变量

在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问,

这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭:

register_globals = Off

当然,如果这样设置了,那么获取对应变量的时候就要采用合理方式,比如获取GET提交的变量var,

那么就要用$_GET['var']来进行获取,这个php程序员要注意。

(9) 打开magic_quotes_gpc来防止SQL注入

SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷,

所以一定要小心。php.ini中有一个设置:

magic_quotes_gpc = Off

这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,

比如把 ' 转为 \'等,这对防止sql注射有重大作用。所以我们推荐设置为:

magic_quotes_gpc = On

(10) 错误信息控制

一般php在没有连接到数据库或者其他情况下会有提示错误,一般错误信息中会包含php脚本当

前的路径信息或者查询的SQL语句等信息,这类信息提供给黑客后,是不安全的,所以一般服务器建议禁止错误提示:

display_errors = Off

如果你却是是要显示错误信息,一定要设置显示错误的级别,比如只显示警告以上的信息:

error_reporting = E_WARNING & E_ERROR

当然,我还是建议关闭错误提示。

(11) 错误日志

建议在关闭display_errors后能够把错误信息记录下来,便于查找服务器运行的原因:

log_errors = On

同时也要设置错误日志存放的目录,建议根apache的日志存在一起:

error_log = D:/usr/local/apache2/logs/php_error.log

注意:给文件必须允许apache用户的和组具有写的权限。

MYSQL的降权运行

新建立一个用户比如mysqlstart

net user mysqlstart ****microsoft /add

net localgroup users mysqlstart /del

不属于任何组

如果MYSQL装在d:\mysql ,那么,给 mysqlstart 完全控制 的权限

然后在系统服务中设置,MYSQL的服务属性,在登录属性当中,选择此用户 mysqlstart 然后输入密码,确定。

重新启动 MYSQL服务,然后MYSQL就运行在低权限下了。

如果是在windos平台下搭建的apache我们还需要注意一点,apache默认运行是system权限,

这很恐怖,这让人感觉很不爽.那我们就给apache降降权限吧。

net user apache ****microsoft /add

net localgroup users apache /del

ok.我们建立了一个不属于任何组的用户apche。

我们打开计算机管理器,选服务,点apache服务的属性,我们选择log on,选择this account,我们填入上面所建立的账户和密码,

重启apache服务,ok,apache运行在低权限下了。

实际上我们还可以通过设置各个文件夹的权限,来让apache用户只能执行我们想让它能干的事情,给每一个目录建立一个单独能读写的用户。

这也是当前很多虚拟主机提供商的流行配置方法哦,不过这种方法用于防止这里就显的有点大材小用了。

본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Undresser.AI Undress

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

메모장++7.3.1

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

드림위버 CS6

시각적 웹 개발 도구

SublimeText3 Mac 버전

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

Gin 프레임워크의 보안 성능 및 보안 구성에 대한 자세한 설명 Gin 프레임워크의 보안 성능 및 보안 구성에 대한 자세한 설명 Jun 22, 2023 pm 06:51 PM

Gin 프레임워크는 Go 언어 기반의 경량 웹 개발 프레임워크로 강력한 라우팅 기능, 미들웨어 지원, 확장성 등 뛰어난 기능을 제공합니다. 그러나 보안은 모든 웹 애플리케이션에서 중요한 요소입니다. 이 기사에서는 사용자가 웹 애플리케이션의 보안을 보장하는 데 도움이 되는 Gin 프레임워크의 보안 성능 및 보안 구성에 대해 논의합니다. 1. Gin 프레임워크의 보안 성능 1.1 XSS 공격 방지 XSS(Cross-site scripting) 공격은 가장 일반적인 웹

Nginx의 SSL/TLS 보안 구성 모범 사례 Nginx의 SSL/TLS 보안 구성 모범 사례 Jun 10, 2023 am 11:36 AM

Nginx는 SSL/TLS 프로토콜을 통해 네트워크 통신의 보안을 보장하는 널리 사용되는 HTTP 서버 및 역방향 프록시 서버입니다. 이 기사에서는 서버 보안을 더욱 효과적으로 보장하는 데 도움이 되는 Nginx SSL/TLS 보안 구성에 대한 모범 사례를 살펴보겠습니다. 1. 최신 버전의 Nginx 및 OpenSSL을 사용하십시오. 최신 버전의 Nginx 및 OpenSSL에는 최신 보안 수정 사항 및 업데이트가 포함되어 있습니다. 따라서 최신 버전의 Nginx 및 OpenS를 사용하십시오.

Java의 보안 구성 관리 및 액세스 제어 정책 Java의 보안 구성 관리 및 액세스 제어 정책 Aug 07, 2023 am 11:01 AM

Java의 보안 구성 관리 및 액세스 제어 정책 보안은 Java 애플리케이션 개발에서 중요한 측면입니다. 잠재적인 공격으로부터 애플리케이션을 보호하려면 일련의 보안 구성 관리 및 액세스 제어 정책을 구현해야 합니다. 이 기사에서는 Java의 보안 구성 관리 및 액세스 제어 전략을 살펴보고 관련 코드 예제를 제공합니다. 보안 구성 관리 보안 구성 관리란 애플리케이션의 보안을 보장하기 위해 Java 애플리케이션의 다양한 보안 메커니즘과 정책을 설정하고 관리하는 것을 말합니다. 자바 언급

웹사이트 데이터 전송 보안을 보장하는 Nginx HTTPS 구성 튜토리얼 웹사이트 데이터 전송 보안을 보장하는 Nginx HTTPS 구성 튜토리얼 Jul 04, 2023 pm 06:22 PM

웹 사이트 데이터 전송의 보안을 보장하기 위한 NginxHTTPS 구성 튜토리얼 오늘날의 인터넷 시대에는 네트워크 보안 문제가 점점 더 중요해지면서 웹 사이트 데이터 전송의 보안을 보장하는 것이 중요해졌습니다. 웹사이트의 안전한 전송을 위해 HTTPS 프로토콜 사용이 표준이 되었습니다. 이 글에서는 웹사이트 데이터 전송의 보안을 보장하기 위해 Nginx를 통해 HTTPS를 구성하는 방법을 소개합니다. SSL 인증서 생성 먼저 암호화된 데이터 전송을 위한 SSL 인증서를 생성해야 합니다. 상용 SSL 인증서를 구매하거나

Java의 잘못된 보안 구성 방지 Java의 잘못된 보안 구성 방지 Aug 09, 2023 pm 02:09 PM

Java에서 보안 구성 오류 방지 소개: Java 개발 프로세스에서 보안 구성은 필수 링크입니다. 시스템 보안을 올바르게 구성하면 악의적인 공격과 불법적인 액세스로부터 시스템을 보호할 수 있습니다. 그러나 복잡한 구성 매개변수와 불완전한 보안 설정으로 인해 코드에서 보안 구성 오류가 발생하기 쉽고 잠재적인 보안 위험이 발생할 수 있습니다. 이 기사에서는 몇 가지 일반적인 Java 보안 구성 오류를 살펴보고 해당 솔루션과 코드 예제를 제공합니다. 1. 잘못된 비밀번호 저장 비밀번호는 시스템 내 민감한 정보입니다.

새로운 색상과 업그레이드된 안전 구성! 우링 빙고 410km 버전 외관 및 내부 공개 새로운 색상과 업그레이드된 안전 구성! 우링 빙고 410km 버전 외관 및 내부 공개 Sep 25, 2023 pm 10:29 PM

9월 25일 뉴스에 따르면 우링빙고의 410km Lingxi 전용모델이 오늘 공식 출시되었으며 가격은 88,800위안이다. 이번 신차는 외관부터 인테리어, 내구성 성능부터 구성 업그레이드까지 대폭 개선해 완전히 새로운 모습을 선보이며 소비자에게 더 많은 혜택과 편의성을 선사한다. 새로운 Wuling Bingo 410km 버전은 세련되고 패셔너블한 외관 스타일을 유지할 뿐만 아니라 Zhaoxia Pink, Qianwan Green, Breeze Blue의 세 가지 새로운 색상을 출시하여 다양한 소비자의 미적 요구를 충족합니다. 구성 면에서는 차량에 자동 와이퍼와 자동 헤드라이트 기능을 탑재하는 것은 물론, 메인 및 조수석 에어백, 프론트 사이드 에어백 등 다양한 안전 구성도 기본으로 탑재해 보호력을 더욱 강화했다. 운전을 위해. 편집자가 이해하는 한, 이 새 자동차는 전력 및 배터리 수명 측면에서 큰 이점을 가지고 있습니다.

웹사이트 데이터 전송 보안을 보호하기 위한 Nginx HTTPS 구성 튜토리얼 웹사이트 데이터 전송 보안을 보호하기 위한 Nginx HTTPS 구성 튜토리얼 Jul 04, 2023 pm 01:43 PM

웹사이트 데이터 전송 보안을 보호하기 위한 Nginx HTTPS 구성 튜토리얼 인터넷의 급속한 발전으로 웹사이트 보안 문제가 점점 더 주목을 받고 있습니다. 웹사이트 데이터 전송의 보안을 보호하기 위해 HTTPS 프로토콜을 사용하는 것은 매우 중요한 조치입니다. 이 기사에서는 웹사이트에서 데이터 전송의 보안을 보장하기 위해 Nginx를 사용하여 HTTPS를 구성하는 방법을 소개합니다. 1. SSL 인증서를 설치합니다. HTTPS를 구성하기 전에 웹사이트의 신원과 데이터 전송 보안을 보장하기 위해 SSL 인증서를 얻어야 합니다. 타사 인증서로 인증할 수 있습니다.

PHP 양식 보안 정책: PHP 상수를 사용하여 보안 구성 정의 PHP 양식 보안 정책: PHP 상수를 사용하여 보안 구성 정의 Jun 24, 2023 am 08:04 AM

인터넷 기술의 발전으로 양식은 현대 웹 애플리케이션의 중요한 부분이 되고 있습니다. 양식은 소셜 미디어 사이트의 랜딩 페이지, 전자상거래 플랫폼의 장바구니 페이지, 온라인 설문조사 등에 사용할 수 있습니다. 그러나 양식에는 사용자 입력 및 데이터 전송이 포함되고 때로는 민감한 정보가 포함되어 있으므로 웹 사이트의 보안을 보호하기 위해 일부 보안 전략을 채택해야 합니다. PHP 양식 보안 정책은 PHP 상수를 사용하여 보안 구성을 정의함으로써 이 목표를 달성할 수 있습니다. PHP 상수는 고정 값을 정의하는 포괄적인 방법입니다.

See all articles