PHP ialah bahasa pengaturcaraan yang digunakan secara meluas dalam pembangunan web Ia mempunyai rangkaian aplikasi yang luas, daripada bentuk mudah kepada laman web e-dagang yang kompleks boleh digunakan untuk melaksanakannya. Walau bagaimanapun, seperti mana-mana aplikasi web lain, aplikasi PHP perlu selamat. Artikel ini akan memperkenalkan Panduan Permulaan PHP: Tetapan Keselamatan Pelayan.
Langkah pertama ialah memastikan semua program yang berkaitan pada pelayan dikemas kini. Ini termasuk sistem pengendalian, pelayan web, pelayan pangkalan data dan PHP itu sendiri. Menaik taraf program pelayan secara kerap boleh mengurangkan kemungkinan penyerang mengeksploitasi kelemahan yang diketahui untuk menjejaskan pelayan anda.
PHP menyediakan beberapa fungsi yang berkuasa, tetapi sesetengah daripadanya mungkin menimbulkan ancaman keselamatan kepada pelayan. Sebagai contoh, fungsi eval() boleh melaksanakan kod arbitrari, jadi ia harus dilumpuhkan. Begitu juga, fungsi system() dan exec() boleh dilumpuhkan untuk menghalang penyerang daripada melaksanakan arahan sistem berbahaya melalui fungsi ini.
PHP membenarkan data borang disimpan terus sebagai pembolehubah global, tetapi ini memberi penyerang cara lain untuk menyuntik kod hasad. Keadaan ini boleh dielakkan dengan menetapkan parameter register_globals kepada Mati.
PHP menyediakan beberapa fungsi pengurusan sesi untuk membantu pembangun mengurus pengesahan pengguna dan tamat tempoh sesi. Menggunakan fungsi ini boleh menghalang serangan rampasan sesi dan memastikan data pengguna selamat.
SQL injection ialah kaedah serangan biasa di mana penyerang cuba menyuntik pertanyaan SQL ke dalam input aplikasi web untuk mendapatkan akses kepada pangkalan data . Untuk mengelakkan ini, anda perlu menggunakan kaedah pertanyaan berparameter dalam perpustakaan sambungan PHP seperti PDO atau MySQLi untuk menghalang penyerang daripada menyuntik kod sewenang-wenangnya.
Malah mesej ralat mudah boleh memberikan penyerang dengan banyak maklumat tentang pelayan. Oleh itu, anda perlu menetapkan display_errors kepada Mati dalam konfigurasi PHP dan log ralat ke lokasi yang selamat.
Data sensitif hendaklah disimpan secara disulitkan, seperti kata laluan hendaklah disimpan menggunakan teknologi penyulitan cincang untuk menghalang penyerang daripada mendapatkan maklumat sensitif pengguna. Begitu juga, anda perlu memastikan bahawa data sensitif disulitkan semasa penghantaran dan dilindungi menggunakan protokol HTTPS.
Ringkasan
Keselamatan program PHP adalah sangat penting, kerana lubang keselamatan boleh menyebabkan kebocoran data, ranap pelayan dan masalah serius yang lain. Dengan menggunakan langkah keselamatan di atas, anda boleh meningkatkan keselamatan program PHP anda dan menghalang penyerang daripada mengeksploitasi kelemahan yang diketahui untuk menyerang pelayan.
Atas ialah kandungan terperinci Bermula dengan PHP: Tetapan Keselamatan Pelayan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!