分享十個PHP安全的必備技巧

#                                                        

參考：「PHP視訊教學》

，PHP 開發者。在這篇文章中，我將嘗試為你提供一些可以提高 PHP 應用程式安全性的具體步驟。我關注的是 PHP 配置本身，所以我們不會討論 SQL 注入、HTTPS 或其他與 PHP 無關的問題。

我將使用我的docker-entrypoint.sh腳本中的 bash 行來說明範例，但當然你可以將其應用於非 docker 環境。

Sessions

使用較長的Session ID 長度

增加會話id 長度會使攻擊者更難猜到（透過暴力或更有可能的側通道攻擊）。長度可以介於22 到 256 個字元之間。預設值為 32。

sed -i -e "s/session.sid_length = 26/session.sid_length = 42/" /etc/php7/php.ini

(別問我為什麼在 Alpine Linux 上是26…)

#你可能還想查看 session.sid_bits_per_character。

使用具有限制權限的自訂會話保存路徑

只有nginx/php 需要存取會話，所以讓我們將它們放在一個具有受限權限的特殊資料夾中。

sed -i -e "s:;session.save_path = \"/tmp\":session.save_path = \"/sessions\":" /etc/php7/php.ini
mkdir -p /sessions
chown nginx:nginx /sessions
chmod 700 /sessions

當然，如果你使用Redis 處理會話，你並不需要關心這部分；)

安全會話Cookie

##session .cookie_httponly來阻止javascript 存取它們。 更多資訊。

sed -i -e "s/session.cookie_httponly.*/session.cookie_httponly = true/" /etc/php7/php.ini
sed -i -e "s/;session.cookie_secure.*/session.cookie_secure = true/" /etc/php7/php.ini

session.cookie_secure 防止你的 cookie 在明文 HTTP 上傳輸。

session.cookie_samesite 以防止跨網站攻擊。僅適用於最新的 PHP/瀏覽器。

使用嚴格模式

由於 Cookie 規範，攻擊者能夠透過本機設定 Cookie 資料庫或 JavaScript 注入來放置不可移除的會話 ID Cookie。

session.use_strict_mode 可以防止使用攻擊者初始化的會話 ID。

限制生存期

會話應與瀏覽器一起關閉。因此設定

session.cookie_lifetime 為0。

Open_basedir

open_basedir 是一個php.ini設定選項，讓你限制PHP 可以存取的檔案/目錄。

sed -i -e "s#;open_basedir =#open_basedir = /elabftw/:/tmp/:/usr/bin/unzip#" /etc/php7/php.ini

這裡我加入了 unzip，因為它是由 Composer 使用的。 

/elabftw是所有來源 php 檔案所在的位置。我不記得為什麼/tmp會在這裡，但肯定有原因。

停用功能

這一點要小心，因為你很容易搞砸一個應用程式。但這絕對值得調查。假設攻擊者以某種方式上傳了一個 webshel​​l，如果正確禁用了，webshel​​l 將不會真正工作，因為

shell_exec將被禁用，同類也將被禁用。我提供了一個適用於elabftw 的列表，但並不是百分之百完成。

sed -i -e "s/disable_functions =/disable_functions = php_uname, getmyuid, getmypid, passthru, leak, listen, diskfreespace, tmpfile, link, ignore_user_abort, shell_exec, dl, system, highlight_file, source, show_source, fpaththru, virtual, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_times, posix_ttyname, posix_uname, phpinfo/" /etc/php7/php.ini

停用 url_fopen

allow_url_fopen 這個選項很危險的。禁用它。更多資訊在此。

sed -i -e "s/allow_url_fopen = On/allow_url_fopen = Off/" /etc/php7/php.ini

停用 cgi.fix_pathinfo

你不想讓非 PHP 檔案作為 PHP 檔案執行，對嗎？那就禁用此功能。

更多資訊。

sed -i -e "s/;cgi.fix_pathinfo=1/cgi.fix_pathinfo=0/g" /etc/php7/php.ini

隱藏 PHP 版本

最後，不假思索地說：

sed -i -e "s/expose_php = On/expose_php = Off/g" /etc/php7/php.ini

現在就這樣。我希望你會發現這篇文章很有用，並改進你的配置；)

如果我錯過了什麼重要的東西，請在評論中告訴我！

原文網址：https://dev.to/elabftw/10-steps-for-securing-a-php-app-5fnp

翻譯網址：https://learnku.com /php/t/50851

#

以上是分享十個PHP安全的必備技巧的詳細內容。更多資訊請關注PHP中文網其他相關文章！