系统管理员必须知道的PHP安全实践
件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以,
使用 PHP 时要小心。以下是 25 个 PHP 安全方面的最佳实践,可供系统管理
员们安全地配置 PHP。
为 PHP 安全提示而提供的示例环境
◆文件根目录(DocumentRoot):/var/www/html
◆ 默 认 的 Web 服 务 器 :Apache(可 以 使 用 Lighttpd 或 Nginx 来 取 代
Apache)
◆默认的 PHP 配置文件 :/etc/php.ini
◆默认的 PHP 加载模块配置目录 :/etc/php.d/
◆我们的示例 php 安全配置文件 :/etc/php.d/security.ini(需要使用文
本编辑器来创建该文件)
◆ 操 作 系 统 :RHEL/CentOS/Fedora Linux(相 关 指 令 应 该 与 Debian/
Ubuntu 等其他任何 Linux 发行版或者 OpenBSD/FreeBSD/HP-UX 等其他类
似 Unix 的操作系统兼容)。
◆默认的 php 服务器 TCP/UDP 端口 :无
将所有PHP错误记入日志
别让 PHP 错误信息暴露在网站的所有访客面前。编辑 /etc/php.d/
security.ini,执行以下指令 :
display_errors=Off
确保你将所有 PHP 错误记入到日志文件中 :
log_errors=On
error_log=/var/log/httpd/php_scripts_error.log
不允许上传文件
出于安全原因,编辑 /etc/php.d/security.ini,执行以下命令 :
file_uploads=Off
如果使用你应用程序的用户需要上传文件,只要设置 upload_max_
filesize,即可启用该功能,该设置限制了 PHP 允许通过上传的文件的最大
值 :
file_uploads=On
# 用户通过 PHP 上传的文件最大 1MB
upload_max_filesize=1M
关闭远程代码执行
如 果 启 用,allow_url_fopen 允 许 PHP 的 文 件 函 数 —— 如 file_get_
contents()、include 语句和 require 语句——可以从远程地方(如 FTP 或网站)
获取数据。
allow_url_fopen 选项允许 PHP 的文件函数——如 file_get_contents()、
include 语句和 require 语句——可以使用 FTP 或 HTTP 协议,从远程地方
获取数据。编程员们常常忘了这一点,将用户提供的数据传送给这些函数
时,没有进行适当的输入过滤,因而给代码注入安全漏洞留下了隐患。基于
PHP 的 Web 应用程序中存在的众多代码注入安全漏洞是由启用 allow_url_
fopen 和糟糕的输入过滤共同引起的。编辑 /etc/php.d/security.ini,执行
以下指令 :
allow_url_fopen=Off
出于安全原因,我还建议禁用 allow_url_include :
allow_url_include=Off
启用SQL安全模式
编辑 /etc/php.d/security.ini,执行以下指令 :
sql.safe_mode=On
如果启用,mysql_connect() 和 mysql_pconnect() 就忽视传送给它们的
任何变量。请注意 :你可能得对自己的代码作一些更改。sql.safe_mode 启
用后,第三方开源应用程序(如 WorkdPress)及其他应用程序可能根本运行
不了。我还建议你针对所有安装的 php 5.3.x 关闭 magic_quotes_gpc,因
为它的过滤并不有效、不是很可靠。mysql_escape_string() 和自定义过滤
函数能起到更好的作用 :
magic_quotes_gpc=Off
控制POST请求的大小
作为请求的一部分,客户机(浏览器或用户)需要将数据发送到 Apache
Web 服务器时,比如上传文件或提交填好的表单时,就要用到 HTTP POST
请求方法。攻击者可能会企图发送过大的 POST 请求,大量消耗你的系统
资源。你可以限制 PHP 将处理的 POST 请求的最大大小。编辑 /etc/php.
d/security.ini,执行以下命令 :
; 在此设置实际可行的值
post_max_size=1K
1K 设置了 php 应用程序允许的 POST 请求数据的最大大小。该设置还
影响文件上传。要上传大容量文件,这个值必须大于 upload_max_filesize。
我还建议你限制使用 Apache Web 服务器的可用方法。编辑 httpd.conf,执
行针对文件根目录 /var/www/html 的以下指令 :
<Directory /var/www/html>
<LimitExcept GET POST>
Order allow,deny
</LimitExcept>
## 可在此添加配置的其余部分 ... ##
</Directory>
资源控制(拒绝服务控制)
你可以设置每个 php 脚本的最长执行时间,以秒为单位。另一个建议的
选项是设置每个脚本可能用于解析请求数据的最长时间,以及脚本可能耗
用的最大内存数量。编辑 /etc/php.d/security.ini,执行以下命令 :
# 设置,以秒为单位
max_execution_time = 30
max_input_time = 30
memory_limit = 40M
为PHP安装Suhosin高级保护系统
Suhosin 是一款高级的保护系统,面向安装的 PHP。它旨在保护服务器和
用户,远离 PHP 应用程序和 PHP 核心中的已知缺陷和未知缺陷。Suhosin 分
两个独立部分,可以单独使用,也可以组合使用。第一个部分是针对 PHP 核
心的小补丁,实施了几个低级防护措施,以防范缓冲器溢出或格式字符串安
全漏洞 ;第二个部分是功能强大的 PHP 加载模块,实施了其他所有的保护措
施。
保持PHP、软件和操作系统版本最新
打安全补丁是维护Linux、Apache、PHP和MySQL服务器的一个重要环节。
应该使用以下其中任何一个工具(如果你通过软件包管理器来安装 PHP),
尽快检查所有的 PHP 安全更新版本,并尽快打上 :
# yum update 或
# apt-get update && apt-get upgrade
你可以配置红帽 /CentOS/Fedora Linux,以便通过电子邮件发送 yum 软
件包更新通知。另一个选项是通过 cron job(计划任务)打上所有的安全
更新版。在 Debian/Ubuntu Linux 下,可以使用 apticron 来发送安全通知。
注 :经常访问 php.net,寻找源代码安装的最新版本。
限制文件和目录访问
确保你以 Apache 或 www 等非根用户的身份来运行 Apache。所有文件
和目录都应该归非根用户(或 apache 用户)所有,放在 /var/www/html 下 :
# chown -R apache:apache /var/www/html/
/var/www/html/ 是个子目录,这是其他用户可以修改的文件根目录,
因为根目录从来不在那里执行任何文件,也不会在那里创建文件。
确保在 /var/www/html/ 下,文件权限设成了 0444(只读):
# chmod -R 0444 /var/www/html/
确保在 /var/www/html/ 下,所有目录权限设成了 0445 :
# find /var/www/html/ -type d -print0 | xargs -0 -I {} chmod 0445 {}
关于设置合适文件权限的补充
chown 和 chmod 命令确保 :不管在什么情况下,文件根目录或文件根目
录里面的文件都可以被 Web 服务器用户 apache 写入。请注意 :你需要设
置对你网站的开发模型最合理的权限,所以可以根据自身需要,随意调整
chown 和 chmod 命令。在这个示例中,Apache 服务器以 apache 用户的身
份来运行。这可以在你的 httpd.conf 文件中用 User 和 Group 命令来配置。
apache 用户需要对文件根目录下的所有内容享有读取访问权,但是不应该
享有写入访问权。
确保 httpd.conf 有以下命令,实现限制性配置 :
<Directory / >
Options None
AllowOverride None
Order allow,deny
</Directory>
由于篇幅所限,本文仅节选了 25 条最佳实践当中的 9 条。完整内容见
原文 :
25 PHP Security Best Practices For Sys Admins
译文 :http://os.51cto.com/art/201111/305014.htmv
系统管理员必须知道的PHP安全实践的更多相关文章
- 「从零单排HBase 06」你必须知道的HBase最佳实践
前面,我们已经打下了很多关于HBase的理论基础,今天,我们主要聊聊在实际开发使用HBase中,需要关注的一些最佳实践经验. 1.Schema设计七大原则 1)每个region的大小应该控制在10G到 ...
- 《你必须知道的.NET》读书实践:一个基于OO的万能加载器的实现
此篇已收录至<你必须知道的.Net>读书笔记目录贴,点击访问该目录可以获取更多内容. 一.关于万能加载器 简而言之,就是孝顺的小王想开发一个万能程序,可以一键式打开常见的计算机资料,例如: ...
- C#刨根究底:《你必须知道的.NET》读书笔记系列
一.此书到底何方神圣? <你必须知道的.NET>来自于微软MVP—王涛(网名:AnyTao,博客园大牛之一,其博客地址为:http://anytao.cnblogs.com/)的最新技术心 ...
- [你必须知道的.NET]第三十一回,深入.NET 4.0之,从“新”展望
发布日期:2009.05.22 作者:Anytao © 2009 Anytao.com ,Anytao原创作品,转贴请注明作者和出处. /// <summary> /// 本文开始,将以& ...
- [你必须知道的.NET]第三十回:.NET十年(下)
发布日期:2009.05.11 作者:Anytao © 2009 Anytao.com ,Anytao原创作品,转贴请注明作者和出处. /// <summary> /// 本文部分内容,已 ...
- [你必须知道的.NET]第二十九回:.NET十年(上)
发布日期:2009.05.08 作者:Anytao © 2009 Anytao.com ,Anytao原创作品,转贴请注明作者和出处. /// <summary> /// 本文部分内容,已 ...
- [你必须知道的.NET]第二十三回:品味细节,深入.NET的类型构造器
发布日期:2008.11.2 作者:Anytao © 2008 Anytao.com ,Anytao原创作品,转贴请注明作者和出处. 说在,开篇之前 今天Artech兄在<关于Type Init ...
- [你必须知道的.NET]第二十二回:字符串驻留(上)---带着问题思考
发布日期:2008.8.27 作者:Anytao © 2008 Anytao.com ,Anytao原创作品,转贴请注明作者和出处. 说在,开篇之前 走钢丝的人,在刺激中体验快感.带着问题思考,在问题 ...
- [你必须知道的.NET]第二十一回:认识全面的null
发布日期:2008.7.31 作者:Anytao © 2008 Anytao.com ,Anytao原创作品,转贴请注明作者和出处. 说在,开篇之前 null.nullable.??运算符.null ...
随机推荐
- GIT : IDEA切换到某个tag
背景看一本presto的书,发现版本用的是presto-0.107这个版本.然后我去Apache clone下源码,发现分支只有几个,但是下载页面却有很多不同的版本 然后看Tag发现有很多. 然后我现 ...
- 推荐一款万年历App 诸葛万年历
推荐一款万年历App 诸葛万年历 1 介绍 应用简介: 提供标准和专业的时间信息查询,记录和承载生活中的美好记忆,帮助用户高效快捷的管理个人时间.精美的日期展示和完善的重要事件提醒功能,可以方便安排日 ...
- linux 安装jdk 和tomcat
#创建用户是为了区分操作权限,如果不区分的话可以直接用root用户执行文件目录为 /usr/lcdc #创建lcdc用户, #其中-d和-m选项用来为登录名lcdc, /usr/lcdc(/usr为默 ...
- Docker笔记:常用服务安装——Nginx、MySql、Redis(转载)
转载地址:https://www.cnblogs.com/spec-dog/p/11320513.html 开发中经常需要安装一些常用的服务软件,如Nginx.MySql.Redis等,如果按照普通的 ...
- Spring Cloud Feign高级应用
1.使用feign进行服务间的调用 spring boot2X整合nacos一使用Feign实现服务调用 2.开启gzip压缩 Feign支持对请求与响应的压缩,以提高通信效率,需要在服务消费者配置文 ...
- 动手学深度学习6-认识Fashion_MNIST图像数据集
获取数据集 读取小批量样本 小结 本节将使用torchvision包,它是服务于pytorch深度学习框架的,主要用来构建计算机视觉模型. torchvision主要由以下几个部分构成: torchv ...
- Android系统HAL开发实例
1.前言 Android系统使用HAL这种设计模式,使得上层服务与底层硬件之间的耦合度降低,在文件: AOSP/hardware/libhardware/include/hardware/hardwa ...
- python爬取电影网站信息
一.爬取前提1)本地安装了mysql数据库 5.6版本2)安装了Python 2.7 二.爬取内容 电影名称.电影简介.电影图片.电影下载链接 三.爬取逻辑1)进入电影网列表页, 针对列表的html内 ...
- 转 Java jar (SpringBoot Jar)转为win可执行的exe程序
原文链接:http://voidm.com/2018/12/29/java-jar-transform-exe/打包Jar工程 将java项目打包成jar工程,可以是文章以SpringBoot为例po ...
- Mysql select into outfile 命令
[1]Mysql select into outfile命令 在Mysql中,与load data infile命令作用相反的一个命令是select into outfile命令 select int ...