推荐的php安全配置选项

Posted 哈利路亚

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了推荐的php安全配置选项相关的知识,希望对你有一定的参考价值。

推荐安全配置选项

这里有几个会影响安全功能的 php 配置设置。下面是一些显然应该用于生产服务器的:

register_globals 设置为 off
safe_mode 设置为 off
error_reporting 设置为 off。如果出现错误了,这会向用户浏览器发送可见的错误报告信息。对于生产服务器,使用错误日志代替。开发服务器如果在防火墙后面就可以启用错误日志。(LCTT 译注:此处据原文逻辑和常识,应该是“开发服务器如果在防火墙后面就可以启用错误报告,即 on。”)
停用这些函数:system()、exec()、passthru()、shell_exec()、proc_open()、和 popen()。
open_basedir 为 /tmp(以便保存会话信息)目录和 web 根目录,以便脚本不能访问这些选定区域外的文件。
expose_php 设置为 off。该功能会向 Apache 头添加包含版本号的 PHP 签名。
allow_url_fopen 设置为 off。如果你能够注意你代码中访问文件的方式-也就是你验证所有输入参数,这并不严格需要。
allow_url_include 设置为 off。对于任何人来说,实在没有明智的理由会想要访问通过 HTTP 包含的文件。
一般来说,如果你发现想要使用这些功能的代码,你就不应该相信它。尤其要小心会使用类似 system() 函数的代码-它几乎肯定有缺陷。

启用了这些设置后,让我们来看看一些特定的攻击以及能帮助你保护你服务器的方法。

以上是关于推荐的php安全配置选项的主要内容,如果未能解决你的问题,请参考以下文章

php.ini配置

PHP的一些安全设置

关于Linux系统-sshd服务-AllowUsers与AllowGroups-选项的安全加固配置

PHP 错误日志/安全配置

Web 客户端和移动 REST api 安全性的推荐配置

网络安全PHP常见漏洞分析