当前位置: 开发笔记 > 编程语言 > 正文

系统管理员应知：十大PHP最佳安全实践

作者：唯忻小十__ | 来源：互联网 | 2013-12-19 11:21

PHP被广泛用于各种Web开发。然而，当服务器端脚本配置错误时会出现各种问题。现今，大部分Web服务器是基于Linux环境下运行（比如：Ubuntu，Debian等）。本文例举了十大PHP最佳安全实践方式，能够让您轻松、安全配置PHP

PHP被广泛用于各种Web开发。而当服务器端脚本配置错误时会出现各种问题。现今，大部分Web服务器是基于Linux环境下运行（比如：Ubuntu，Debian等）。本文例举了十大PHP最佳安全实践方式，能够让您轻松、安全配置PHP。

PHP安全性设置提示：

DocumentRoot: /var/www/

Default Web server: Apache

Default PHP configuration file: /etc/php.ini

Default PHP extensions config directory: /etc/php.d/

Our sample php security config file: /etc/php.d/security.ini (you need to create this file using a text editor)

Operating systems: Ubuntu (the instructions should work with any other Linux distributions such as RHEL / CentOS / Fedora or other Unix like operating systems such as OpenBSD/FreeBSD/HP-UX).

1. 减少PHP内置模块

为了增强性能和安全性，强烈建议，减少PHP中的模块。来看看下面这个被执行命令安装的模块。


	
	
		# php –m

你将会得到类似的结果：

[PHP Modules]
apc
bcmath
bz2
calendar
Core
ctype
curl
date
dom
ereg
exif
fileinfo
filter
ftp
gd
gettext
gmp
hash
iconv
imap
json
libxml
mbstring
memcache
mysql
mysqli
openssl
pcntl
pcre
PDO
pdo_mysql
pdo_sqlite
Phar
readline
Reflection
session
shmop
SimpleXML
sockets
SPL
sqlite3
standard
suhosin
tokenizer
wddx
xml
xmlreader
xmlrpc
xmlwriter
xsl
zip
zlib
[Zend Modules]
Suhosin

删除一个模块，并执行此命令。例如：删除模块sqlite3


	
	
		# rm /etc/php.d/sqlite3.ini

或者

			
				
				
					# mv /etc/php.d/sqlite3.ini /etc/php.d/sqlite3.disableRestrict

2. 使PHP信息泄露最小化

在默认PHP时在HTTP抬头处会生成一条线介于每个响应中，（比如X-Powered-By: PHP/5.2.10）。而这个在系统信息中为攻击者创建了一个非常有价值的信息。

HTTP示例：

			
				
				
					HTTP/1.1 200 OK  
					

						X-Powered-By: PHP/5.2.10  
						

							Content-type: text/html; charset=UTF-8  
							

								Vary: Accept-Encoding, COOKIE  
								

									X-Vary-Options: Accept-Encoding;list-cOntains=gzip,COOKIE;string-cOntains=wikiToken;  
									

										string-cOntains=wikiLoggedOut;string-cOntains=wiki_session 
										

											Last-Modified: Thu, 03 Nov 2011 22:32:55 GMT  
											

												...

因此，我们强烈建议，禁止PHP信息泄露，想要要禁止它，我们要编辑/etc/php.d/secutity.ini，并设置以下指令：

												
													
													
														expose_php=Off

3. 使PHP加载模块最小化

在默认情况下，RHEL加载的所有模块可以在/etc/php.d/目录中找到。要禁用或启用一个特定的模块，只需要在配置文件/etc/php.d/目录中中注释下模块名称。而为了优化PHP性能和安全性，当你的应用程序需要时，我们强烈建议建议启用扩展功能。举个例子：当禁用GD扩展时，键入以下命令：

															
																
																
																	# cd /etc/php.d/  
																	

																		 
																		

																			# mv gd.{ini,disable}  
																			

																				 
																				

																					# /etc/init.d/apache2 restart

为了扩展PGP GD模块，然后键入以下命令：

																					
																						
																						
																							# mv gd.{disable,ini}  
																							

																								 
																								

																									# /sbin/service httpd restart

4. 记录PHP错误信息

为了提高系统和Web应用程序的安全，PHP错误信息不能被暴露出。要做到这一点，需要编辑/etc/php.d/security.ini 文件，并设置以下指令：

																									
																										
																										
																											display_errors=Off

为了便于开发者Bug修复，所有PHP的错误信息都应该记录在日志中。

																									
																										
																										
																											log_errors=On 
																											

																												 
																												

																													error_log=/var/log/httpd/php_scripts_error.log

5. 禁用远程执行代码

如果远程执行代码，允许PHP代码从远程检索数据功能，如FTP或Web通过PHP来执行构建功能。比如：file_get_contents()。

很多程序员使用这些功能，从远程通过FTP或是HTTP协议而获得数据。然而，此法在基于PHP应用程序中会造成一个很大的漏洞。由于大部分程序员在传递用户提供的数据时没有做到适当的过滤功能，打开安全漏洞并且创建了代码时注入了漏洞。要解决此问题，需要禁用_url_fopen in /etc/php.d/security.ini，并设置以下命令：

																														
																															
																															
																																allow_url_fopen=Off

除了这个，我还建议禁用_url_include以提高系统的安全性。

																														
																															
																															
																																allow_url_include=Off

6. 禁用PHP中的危险函数

PHP中有很多危险的内置功能，如果使用不当，它可能使你的系统崩溃。你可以创建一个PHP内置功能列表通过编辑/etc/php.d/security.ini来禁用它。

																														
																															
																															
																																disable_functions =exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

7. 资源控制

为了提高系统的稳定性，强烈建议设置每个脚本解析请求数据所花费的时间和脚本可能消耗的最大内存量。正确的配置这些参数可以防止PHP任何脚本消耗太多的资源或是内存，从而避免系统不安全或降低安全系数。

																														
																															
																															
																																# set in seconds  
																																

																																	 
																																	

																																		max_execution_time = 30 
																																		

																																			 
																																			

																																				max_input_time = 30 
																																				

																																					 
																																					

																																						memory_limit = 40M

8. 限制PHP访问文件系统

该open_basedir指令指定的目录是允许PHP访问使用fopen()等功能。如果任何脚本试图访问超出open_basdir定义的路径文件，PHP将拒绝打开。值得注意的是，你不能使用一个符号链接作为一种变通方法。

																																							
																																								
																																								
																																									; Limits the PHP process from accessing files outside  
																																									

																																										; of specifically designated directories such as /var/www/html/  
																																										

																																											open_basedir="/var/www/html/" 
																																											

																																												; ------------------------------------  
																																												

																																													; Multiple dirs example  
																																													

																																														; open_basedir="/home/httpd/vhost/cyberciti.biz/html/:/home/httpd/vhost/nixcraft.com/html/:/home/httpd/vhost/theos.in/html/" 
																																														

																																															; ------------------------------------

9．限制文件/目录访问

进行适当的安全设置：确保Apache作为非root用户运行，比如www-data或www。对于文件和目录在基于/var/www/下同样属于非root用户。想要更改所有者，执行以下命令：

																																															
																																																
																																																
																																																	# chown -R apache:apache /var/www/

10.编译保护Apache，PHP和MySQL的配置文件

使用charrt命令编译保护配置文件

																																															
																																																
																																																
																																																	# chattr +i /etc/php.ini  
																																																	

																																																		 
																																																		

																																																			# chattr +i /etc/php.d/*  
																																																			

																																																				 
																																																				

																																																					# chattr +i /etc/my.ini  
																																																					

																																																						 
																																																						

																																																							# chattr +i /etc/httpd/conf/httpd.conf  
																																																							

																																																								 
																																																								

																																																									# chattr +i /etc/

使用charrt命令可以编译保护PHP文件或者是文件中的/var/www/html的目录：

																																																									
																																																										
																																																										
																																																											# chattr +i /var/www/html/file1.php  
																																																											

																																																												 
																																																												

																																																													# chattr +i /var/www/html/

推荐阅读

default
Android 新闻App的本地服务器搭建教程

本文介绍了在开发Android新闻App时，搭建本地服务器的步骤。通过使用XAMPP软件，可以一键式搭建起开发环境，包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表，并设置相应的属性。最后，给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]

蜡笔小新 2023-12-14 17:15:19
default
Apache Shiro 身份验证绕过漏洞 (CVE202011989) 详细解析及防范措施

本文详细解析了Apache Shiro 身份验证绕过漏洞 (CVE202011989) 的原理和影响，并提供了相应的防范措施。Apache Shiro 是一个强大且易用的Java安全框架，常用于执行身份验证、授权、密码和会话管理。在Apache Shiro 1.5.3之前的版本中，与Spring控制器一起使用时，存在特制请求可能导致身份验证绕过的漏洞。本文还介绍了该漏洞的具体细节，并给出了防范该漏洞的建议措施。 ... [详细]

蜡笔小新 2023-12-09 19:58:36
format
VScode格式化文档换行或不换行的设置方法

本文介绍了在VScode中设置格式化文档换行或不换行的方法，包括使用插件和修改settings.json文件的内容。详细步骤为：找到settings.json文件，将其中的代码替换为指定的代码。 ... [详细]

蜡笔小新 2023-12-14 17:15:38
request
【译】发送表单数据

这是原文链接：sendingformdata许多情况下，我们使用表单发送数据到服务器。服务器处理数据并返回响应给用户。这看起来很简单，但是 ... [详细]

蜡笔小新 2023-12-14 16:19:10
python
Alink回归预测的不完善问题及期待

本文讨论了Alink回归预测的不完善问题，指出目前主要针对Python做案例，对其他语言支持不足。同时介绍了pom.xml文件的基本结构和使用方法，以及Maven的相关知识。最后，对Alink回归预测的未来发展提出了期待。 ... [详细]

蜡笔小新 2023-12-14 14:25:33
python
Hibernate基础映射

在说Hibernate映射前，我们先来了解下对象关系映射ORM。ORM的实现思想就是将关系数据库中表的数据映射成对象，以对象的形式展现。这样开发人员就可以把对数据库的操作转化为对 ... [详细]

蜡笔小新 2023-12-14 10:57:47
python
SpringBoot集成前端模版（thymeleaf）的配置步骤

本文介绍了在SpringBoot中集成thymeleaf前端模版的配置步骤，包括在application.properties配置文件中添加thymeleaf的配置信息，引入thymeleaf的jar包，以及创建PageController并添加index方法。 ... [详细]

蜡笔小新 2023-12-14 10:11:46
default
解决Mac上无法使用localhost连接mysql的问题

本文介绍了在Mac上搭建php环境后无法使用localhost连接mysql的问题，并通过将localhost替换为127.0.0.1或本机IP解决了该问题。文章解释了localhost和127.0.0.1的区别，指出了使用socket方式连接导致连接失败的原因。此外，还提供了相关链接供读者深入了解。 ... [详细]

蜡笔小新 2023-12-13 17:48:58
default
r2dbc配置多数据源

R2dbc配置多数据源问题根据官网配置r2dbc连接mysql多数据源所遇到的问题pom配置可以参考官网,不过我这样配置会报错我并没有这样配置将以下内容添加到pom.xml文件d ... [详细]

蜡笔小新 2023-12-12 16:38:53
install
使用cacti监控mssql 2005运行资源情况的操作步骤

本文介绍了使用cacti监控mssql 2005运行资源情况的操作步骤，包括安装必要的工具和驱动，测试mssql的连接，配置监控脚本等。通过php连接mssql来获取SQL 2005性能计算器的值，实现对mssql的监控。详细的操作步骤和代码请参考附件。 ... [详细]

蜡笔小新 2023-12-12 13:57:58
install
Activiti7流程定义开发笔记

本文介绍了Activiti7流程定义的开发笔记，包括流程定义的概念、使用activiti-explorer和activiti-eclipse-designer进行建模的方式，以及生成流程图的方法。还介绍了流程定义部署的概念和步骤，包括将bpmn和png文件添加部署到activiti数据库中的方法，以及使用ZIP包进行部署的方式。同时还提到了activiti.cfg.xml文件的作用。 ... [详细]

蜡笔小新 2023-12-10 19:22:56
go
互联网思维中的3个段子，9大分类和19条法则

本文介绍了互联网思维中的三个段子，涵盖了餐饮行业、淘品牌和创业企业的案例。通过这些案例，探讨了互联网思维的九大分类和十九条法则。其中包括雕爷牛腩餐厅的成功经验，三只松鼠淘品牌的包装策略以及一家创业企业的销售额增长情况。这些案例展示了互联网思维在不同领域的应用和成功之道。 ... [详细]

蜡笔小新 2023-12-10 14:58:10
request
shiro java配置问题：加入Shiro listener后启动失败

本文讨论了在shiro java配置中加入Shiro listener后启动失败的问题。作者引入了一系列jar包，并在web.xml中配置了相关内容，但启动后却无法正常运行。文章提供了具体引入的jar包和web.xml的配置内容，并指出可能的错误原因。该问题可能与jar包版本不兼容、web.xml配置错误等有关。 ... [详细]

蜡笔小新 2023-12-10 09:43:05
request
目录浏览漏洞与目录遍历漏洞的危害及修复方法

本文讨论了目录浏览漏洞与目录遍历漏洞的危害，包括网站结构暴露、隐秘文件访问等。同时介绍了检测方法，如使用漏洞扫描器和搜索关键词。最后提供了针对常见中间件的修复方式，包括关闭目录浏览功能。对于保护网站安全具有一定的参考价值。 ... [详细]

蜡笔小新 2023-12-09 23:30:30
request
浅解XXE与Portswigger Web Sec

XXE与PortswiggerWebSec相关链接：博客园安全脉搏FreeBufXML的全称为XML外部实体注入，在学习的过程中发现有回显的XXE并不多，而 ... [详细]

蜡笔小新 2023-10-17 16:52:48

唯忻小十__

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章