当前位置: 开发笔记 > 编程语言 > 正文

系统管理员应知：十大PHP最佳安全实践

作者：唯忻小十__ | 来源：互联网 | 2013-12-19 11:21

PHP被广泛用于各种Web开发。然而，当服务器端脚本配置错误时会出现各种问题。现今，大部分Web服务器是基于Linux环境下运行（比如：Ubuntu，Debian等）。本文例举了十大PHP最佳安全实践方式，能够让您轻松、安全配置PHP

PHP被广泛用于各种Web开发。而当服务器端脚本配置错误时会出现各种问题。现今，大部分Web服务器是基于Linux环境下运行（比如：Ubuntu，Debian等）。本文例举了十大PHP最佳安全实践方式，能够让您轻松、安全配置PHP。

PHP安全性设置提示：

DocumentRoot: /var/www/

Default Web server: Apache

Default PHP configuration file: /etc/php.ini

Default PHP extensions config directory: /etc/php.d/

Our sample php security config file: /etc/php.d/security.ini (you need to create this file using a text editor)

Operating systems: Ubuntu (the instructions should work with any other Linux distributions such as RHEL / CentOS / Fedora or other Unix like operating systems such as OpenBSD/FreeBSD/HP-UX).

1. 减少PHP内置模块

为了增强性能和安全性，强烈建议，减少PHP中的模块。来看看下面这个被执行命令安装的模块。


	
	
		# php –m

你将会得到类似的结果：

[PHP Modules]
apc
bcmath
bz2
calendar
Core
ctype
curl
date
dom
ereg
exif
fileinfo
filter
ftp
gd
gettext
gmp
hash
iconv
imap
json
libxml
mbstring
memcache
mysql
mysqli
openssl
pcntl
pcre
PDO
pdo_mysql
pdo_sqlite
Phar
readline
Reflection
session
shmop
SimpleXML
sockets
SPL
sqlite3
standard
suhosin
tokenizer
wddx
xml
xmlreader
xmlrpc
xmlwriter
xsl
zip
zlib
[Zend Modules]
Suhosin

删除一个模块，并执行此命令。例如：删除模块sqlite3


	
	
		# rm /etc/php.d/sqlite3.ini

或者

			
				
				
					# mv /etc/php.d/sqlite3.ini /etc/php.d/sqlite3.disableRestrict

2. 使PHP信息泄露最小化

在默认PHP时在HTTP抬头处会生成一条线介于每个响应中，（比如X-Powered-By: PHP/5.2.10）。而这个在系统信息中为攻击者创建了一个非常有价值的信息。

HTTP示例：

			
				
				
					HTTP/1.1 200 OK  
					

						X-Powered-By: PHP/5.2.10  
						

							Content-type: text/html; charset=UTF-8  
							

								Vary: Accept-Encoding, COOKIE  
								

									X-Vary-Options: Accept-Encoding;list-cOntains=gzip,COOKIE;string-cOntains=wikiToken;  
									

										string-cOntains=wikiLoggedOut;string-cOntains=wiki_session 
										

											Last-Modified: Thu, 03 Nov 2011 22:32:55 GMT  
											

												...

因此，我们强烈建议，禁止PHP信息泄露，想要要禁止它，我们要编辑/etc/php.d/secutity.ini，并设置以下指令：

												
													
													
														expose_php=Off

3. 使PHP加载模块最小化

在默认情况下，RHEL加载的所有模块可以在/etc/php.d/目录中找到。要禁用或启用一个特定的模块，只需要在配置文件/etc/php.d/目录中中注释下模块名称。而为了优化PHP性能和安全性，当你的应用程序需要时，我们强烈建议建议启用扩展功能。举个例子：当禁用GD扩展时，键入以下命令：

															
																
																
																	# cd /etc/php.d/  
																	

																		 
																		

																			# mv gd.{ini,disable}  
																			

																				 
																				

																					# /etc/init.d/apache2 restart

为了扩展PGP GD模块，然后键入以下命令：

																					
																						
																						
																							# mv gd.{disable,ini}  
																							

																								 
																								

																									# /sbin/service httpd restart

4. 记录PHP错误信息

为了提高系统和Web应用程序的安全，PHP错误信息不能被暴露出。要做到这一点，需要编辑/etc/php.d/security.ini 文件，并设置以下指令：

																									
																										
																										
																											display_errors=Off

为了便于开发者Bug修复，所有PHP的错误信息都应该记录在日志中。

																									
																										
																										
																											log_errors=On 
																											

																												 
																												

																													error_log=/var/log/httpd/php_scripts_error.log

5. 禁用远程执行代码

如果远程执行代码，允许PHP代码从远程检索数据功能，如FTP或Web通过PHP来执行构建功能。比如：file_get_contents()。

很多程序员使用这些功能，从远程通过FTP或是HTTP协议而获得数据。然而，此法在基于PHP应用程序中会造成一个很大的漏洞。由于大部分程序员在传递用户提供的数据时没有做到适当的过滤功能，打开安全漏洞并且创建了代码时注入了漏洞。要解决此问题，需要禁用_url_fopen in /etc/php.d/security.ini，并设置以下命令：

																														
																															
																															
																																allow_url_fopen=Off

除了这个，我还建议禁用_url_include以提高系统的安全性。

																														
																															
																															
																																allow_url_include=Off

6. 禁用PHP中的危险函数

PHP中有很多危险的内置功能，如果使用不当，它可能使你的系统崩溃。你可以创建一个PHP内置功能列表通过编辑/etc/php.d/security.ini来禁用它。

																														
																															
																															
																																disable_functions =exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

7. 资源控制

为了提高系统的稳定性，强烈建议设置每个脚本解析请求数据所花费的时间和脚本可能消耗的最大内存量。正确的配置这些参数可以防止PHP任何脚本消耗太多的资源或是内存，从而避免系统不安全或降低安全系数。

																														
																															
																															
																																# set in seconds  
																																

																																	 
																																	

																																		max_execution_time = 30 
																																		

																																			 
																																			

																																				max_input_time = 30 
																																				

																																					 
																																					

																																						memory_limit = 40M

8. 限制PHP访问文件系统

该open_basedir指令指定的目录是允许PHP访问使用fopen()等功能。如果任何脚本试图访问超出open_basdir定义的路径文件，PHP将拒绝打开。值得注意的是，你不能使用一个符号链接作为一种变通方法。

																																							
																																								
																																								
																																									; Limits the PHP process from accessing files outside  
																																									

																																										; of specifically designated directories such as /var/www/html/  
																																										

																																											open_basedir="/var/www/html/" 
																																											

																																												; ------------------------------------  
																																												

																																													; Multiple dirs example  
																																													

																																														; open_basedir="/home/httpd/vhost/cyberciti.biz/html/:/home/httpd/vhost/nixcraft.com/html/:/home/httpd/vhost/theos.in/html/" 
																																														

																																															; ------------------------------------

9．限制文件/目录访问

进行适当的安全设置：确保Apache作为非root用户运行，比如www-data或www。对于文件和目录在基于/var/www/下同样属于非root用户。想要更改所有者，执行以下命令：

																																															
																																																
																																																
																																																	# chown -R apache:apache /var/www/

10.编译保护Apache，PHP和MySQL的配置文件

使用charrt命令编译保护配置文件

																																															
																																																
																																																
																																																	# chattr +i /etc/php.ini  
																																																	

																																																		 
																																																		

																																																			# chattr +i /etc/php.d/*  
																																																			

																																																				 
																																																				

																																																					# chattr +i /etc/my.ini  
																																																					

																																																						 
																																																						

																																																							# chattr +i /etc/httpd/conf/httpd.conf  
																																																							

																																																								 
																																																								

																																																									# chattr +i /etc/

使用charrt命令可以编译保护PHP文件或者是文件中的/var/www/html的目录：

																																																									
																																																										
																																																										
																																																											# chattr +i /var/www/html/file1.php  
																																																											

																																																												 
																																																												

																																																													# chattr +i /var/www/html/

推荐阅读

default
Python项目实战10.2：MySQL读写分离性能优化

本文介绍了在Python项目实战中进行MySQL读写分离的性能优化，包括主从同步的配置和Django实现，以及在两台centos 7系统上安装和配置MySQL的步骤。同时还介绍了创建从数据库的用户和权限的方法。摘要长度为176字。 ... [详细]

蜡笔小新 2023-12-09 19:17:54
text
Android 新闻App的本地服务器搭建教程

本文介绍了在开发Android新闻App时，搭建本地服务器的步骤。通过使用XAMPP软件，可以一键式搭建起开发环境，包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表，并设置相应的属性。最后，给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]

蜡笔小新 2023-12-14 17:15:19
text
PHP组合工具以及开发所需的工具

本文介绍了PHP开发中常用的组合工具和开发所需的工具。对于数据分析软件，包括Excel、hihidata、SPSS、SAS、MARLAB、Eview以及各种BI与报表工具等。同时还介绍了PHP开发所需的PHP MySQL Apache集成环境，包括推荐的AppServ等版本。 ... [详细]

蜡笔小新 2023-12-09 17:36:44
default
如何实现织梦DedeCms全站伪静态

本文介绍了如何通过修改织梦DedeCms源代码来实现全站伪静态，以提高管理和SEO效果。全站伪静态可以避免重复URL的问题，同时通过使用mod_rewrite伪静态模块和.htaccess正则表达式，可以更好地适应搜索引擎的需求。文章还提到了一些相关的技术和工具，如Ubuntu、qt编程、tomcat端口、爬虫、php request根目录等。 ... [详细]

蜡笔小新 2023-12-14 19:45:47
md5
基于PgpoolII的PostgreSQL集群安装与配置教程

本文介绍了基于PgpoolII的PostgreSQL集群的安装与配置教程。Pgpool-II是一个位于PostgreSQL服务器和PostgreSQL数据库客户端之间的中间件，提供了连接池、复制、负载均衡、缓存、看门狗、限制链接等功能，可以用于搭建高可用的PostgreSQL集群。文章详细介绍了通过yum安装Pgpool-II的步骤，并提供了相关的官方参考地址。 ... [详细]

蜡笔小新 2023-12-14 19:10:25
process
如何限制php数据库链接数和连接超时时间？

本文介绍了如何使用php限制数据库插入的条数并显示每次插入数据库之间的数据数目，以及避免重复提交的方法。同时还介绍了如何限制某一个数据库用户的并发连接数，以及设置数据库的连接数和连接超时时间的方法。最后提供了一些关于浏览器在线用户数和数据库连接数量比例的参考值。 ... [详细]

蜡笔小新 2023-12-14 14:06:10
process
如何在服务器主机上实现文件共享的方法和工具

本文介绍了在服务器主机上实现文件共享的方法和工具，包括Linux主机和Windows主机的文件传输方式，Web运维和FTP/SFTP客户端运维两种方式，以及使用WinSCP工具将文件上传至Linux云服务器的操作方法。此外，还介绍了在迁移过程中需要安装迁移Agent并输入目的端服务器所在华为云的AK/SK，以及主机迁移服务会收集的源端服务器信息。 ... [详细]

蜡笔小新 2023-12-13 13:23:48
process
揭秘阿里云WAF背后神秘的AI智能防御体系

背景应用安全领域，各类攻击长久以来都危害着互联网上的应用，在web应用安全风险中，各类注入、跨站等攻击仍然占据着较前的位置。WAF(Web应用防火墙)正是为防御和阻断这类攻击而存在 ... [详细]

蜡笔小新 2023-12-11 01:30:52
process
Centos下安装memcached+memcached教程

本文介绍了在Centos下安装memcached和使用memcached的教程，详细解释了memcached的工作原理，包括缓存数据和对象、减少数据库读取次数、提高网站速度等。同时，还对memcached的快速和高效率进行了解释，与传统的文件型数据库相比，memcached作为一个内存型数据库，具有更高的读取速度。 ... [详细]

蜡笔小新 2023-12-10 17:10:24
process
Tomcat安装与配置教程及常见问题解决方法

本文介绍了Tomcat的安装与配置教程，包括jdk版本的选择、域名解析、war文件的部署和访问、常见问题的解决方法等。其中涉及到的问题包括403问题、数据库连接问题、1130错误、2003错误、Java Runtime版本不兼容问题以及502错误等。最后还提到了项目的前后端连接代码的配置。通过本文的指导，读者可以顺利完成Tomcat的安装与配置，并解决常见的问题。 ... [详细]

蜡笔小新 2023-12-09 07:28:32
int
从壹开始前后端分离【 .NET Core2.0 +Vue2.0 】框架之六 || API项目整体搭建 6.1 仓储模式

代码已上传Github+Gitee，文末有地址　　书接上文：前几回文章中，我们花了三天的时间简单了解了下接口文档Swagger框架，已经完全解放了我们的以前的Word说明文档，并且可以在线进行调 ... [详细]

蜡笔小新 2023-10-17 18:25:42
uri
浅解XXE与Portswigger Web Sec

XXE与PortswiggerWebSec相关链接：博客园安全脉搏FreeBufXML的全称为XML外部实体注入，在学习的过程中发现有回显的XXE并不多，而 ... [详细]

蜡笔小新 2023-10-17 16:52:48
export
NFS文件共享系统

1、概述：NFS(NetworkFileSystem)意为网络文件系统，它最大的功能就是可以通过网络，让不同的机器不同的操作系统可以共享 ... [详细]

蜡笔小新 2023-10-17 01:55:01
export
hadoop基础----hadoop实战(六)-----hadoop管理工具---Cloudera Manager---CDH介绍

我们在之前的文章中已经初步介绍了Cloudera。hadoop基础----hadoop实战(零)-----hadoop的平台版本选择从版本选择这篇文章中我们了解到除了hadoop官方版本外很多 ... [详细]

蜡笔小新 2023-10-16 14:21:13
go
Ubuntu 9.04中安装谷歌Chromium浏览器及使用体验[图文]

nsitionalENhttp:www.w3.orgTRxhtml1DTDxhtml1-transitional.dtd ... [详细]

蜡笔小新 2023-12-13 13:30:30

唯忻小十__

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章