今天就跟大家聊聊有關(guān)Linux管理員不可不知的PHP安全要點(diǎn)有哪些���,可能很多人都不太了解,為了讓大家更加了解�,小編給大家總結(jié)了以下內(nèi)容����,希望大家根據(jù)這篇文章可以有所收獲。
成都創(chuàng)新互聯(lián)成都網(wǎng)站建設(shè)按需設(shè)計網(wǎng)站���,是成都網(wǎng)站營銷推廣公司,為展覽展示提供網(wǎng)站建設(shè)服務(wù),有成熟的網(wǎng)站定制合作流程����,提供網(wǎng)站定制設(shè)計服務(wù):原型圖制作�、網(wǎng)站創(chuàng)意設(shè)計、前端HTML5制作�、后臺程序開發(fā)等����。成都網(wǎng)站設(shè)計熱線:028-86922220
PHP是使用最廣泛的腳本編程語言之一�。市場份額頗能說明其主導(dǎo)地位。PHP
7已推出���,這個事實(shí)讓這種編程語言對當(dāng)前的開發(fā)人員來說更具吸引力�����。盡管出現(xiàn)了一些變化����,但是許多開發(fā)人員對PHP的未來持懷疑態(tài)度���。一個原因是PHP的安全�����。
PHP的安全是廣大開發(fā)人員擔(dān)心的主要問題���。雖然PHP提供從里到外的可靠安全,但是需要由開發(fā)人員正確地落實(shí)這些安全機(jī)制�。我們在本文中將為Linux管理員介紹幾個PHP安全要點(diǎn)���。這些要點(diǎn)將幫助你確保Web應(yīng)用程序安全,并確保從長遠(yuǎn)來看正常運(yùn)行����。
在我們開始之前,有必要了解一下我們所要處理的系統(tǒng)���。出于演示的需要��,我們使用Fedora����。然而����,這些要點(diǎn)應(yīng)該適用于Ubuntu版本或其他任何Linux發(fā)行版�。查看你操作系統(tǒng)發(fā)行版的使用手冊,即可了解更多信息�����。
不妨仔細(xì)看一下我們系統(tǒng)環(huán)境的幾個關(guān)鍵文件���。你的文件應(yīng)該類似或?qū)?yīng)于下列:
默認(rèn)的Web服務(wù)器:Apache
DocumentRoot:/var/www/html
PHP配置文件:/etc/php.ini
擴(kuò)展配置目錄:/etc/php.d/
安全文件:/etc/php.d/security.ini
這些技巧將保護(hù)你的網(wǎng)站�,避免不同類型的常見攻擊,比如SQL注入��、XSS��、跨站請求偽造攻擊�、eval()和文件上傳等攻擊?���?稍诖?https://www.sitepoint.com/top-10-php-security-vulnerabilities/)查看常見攻擊列表。
1. 刪除不必要的模塊
PHP隨帶內(nèi)置的PHP模塊�����。它們對許多任務(wù)來說很有用����,但是不是每個項(xiàng)目都需要它們。只要輸入下面這個命令���,就可以查看可用的PHP模塊:
# php - m
一旦你查看了列表�����,現(xiàn)在可以刪除不必要的模塊�����。減少模塊的數(shù)量有助于提高你所處理的Web應(yīng)用程序的性能和安全���。
2. 限制PHP信息泄露
平臺泄露關(guān)鍵信息司空見慣�。比如說�����,PHP會泄露一些信息����,比如版本以及它安裝到服務(wù)器上的事實(shí)。這可以通過expose_php命令來實(shí)現(xiàn)��。為了防止泄露���,你需要在/etc/php.d/security.ini中將該命令設(shè)成off。
expose_php=Off
如果你需要了解版本及其狀態(tài)����,只要針對網(wǎng)站地址運(yùn)行一個簡單的Curl命令就可以獲得該信息�����。
Curl - I http://www.livecoding.tv/index.php
之前的命令會返回下列信息:
HTTP/1.1 200 OK
X-Powered-By: PHP/7.0.10
Content-type: text/html; charset=UTF-8
3. 禁用遠(yuǎn)程代碼執(zhí)行
遠(yuǎn)程代碼執(zhí)行是PHP安全系統(tǒng)方面的常見安全漏洞之一����。默認(rèn)情況下����,遠(yuǎn)程代碼執(zhí)行在你的系統(tǒng)上已被啟用?��!癮llow_url_fopen”命令允許請求(require)��、包括(include)或可識別URL的fopen包裝器等函數(shù)可以直接訪問PHP文件��。遠(yuǎn)程訪問通過使用HTTP或FTP協(xié)議來實(shí)現(xiàn)����,會導(dǎo)致系統(tǒng)無力防御代碼注入安全漏洞����。
為了確保你的系統(tǒng)安全可靠、遠(yuǎn)離遠(yuǎn)程代碼執(zhí)行,你可以將該命令設(shè)成“Off”����,如下所示:
Allow_url_fopen=Off
allow_url_include=Off
4. 將PHP錯誤記入日志
加強(qiáng)Web應(yīng)用程序安全的另一個簡單方法就是,不向訪客顯示錯誤����。這將確保黑客根本無法危及網(wǎng)站的安全性。需要在/etc/php.d/security.ini文件里面進(jìn)行編輯����。
display_errors=Off
現(xiàn)在你可能會想:完成這一步后,“開發(fā)人員在沒有錯誤信息的幫助下如何調(diào)試?”開發(fā)人員可以使用log_errors命令來用于調(diào)試�����。他們只需要在security.ini文件中將log_errors命令設(shè)成“On”���。
log_errors=On
error_log=/var/log/httpd/php_scripts_error.log
5. 合理控制資源
為了確保應(yīng)用程序的安全���,控制資源很重要。為了確保適當(dāng)?shù)膱?zhí)行和安全�,你就要對PHP腳本執(zhí)行予以限制。此外��,還應(yīng)該對花在解析請求數(shù)據(jù)上的時間予以限制�����。如果執(zhí)行時間受到控制�,腳本使用的內(nèi)存等其他資源也應(yīng)該會得到相應(yīng)配置。所有這些度量指標(biāo)可通過編輯security.ini文件來加以管理��。
# set in seconds
max_execution_time = 25
max_input_time = 25
memory_limit = 30M
6. 禁用危險的PHP函數(shù)
PHP隨帶用于開發(fā)的實(shí)用函數(shù)���,但是也有可能被黑客用來闖入Web應(yīng)用程序的大量函數(shù)���。禁用這些函數(shù)可以提高總體安全性,并確保你沒有受到危險的PHP函數(shù)的影響�����。
為此��,你先要編輯php.ini文件���。一旦進(jìn)入該文件����,找到disable_functions命令,禁用里面的危險函數(shù)��。為此��,你只要拷貝/粘貼下列代碼��。
disable_functions =exec,passthru,
shell_exec,system,proc_open,popen,curl_exec,
curl_multi_exec,parse_ini_file,show_source
你可以在此(https://www.eukhost.com/blog/webhosting/dangerous-php-functions-must-be-disabled/)進(jìn)一步了解禁用危險的PHP函數(shù)�。
7. 上傳文件
如果你的應(yīng)用程序不需要上傳任何文件,禁用上傳文件的功能有助于提高安全�����。想禁止用戶上傳文件����,只需要編輯/etc/php.d/目錄下的security.ini文件,將file_uploads命令設(shè)成OFF���。
file_uploads=Off
8. 保持版本最新
開發(fā)人員在24/7不間斷地工作�,給你使用的技術(shù)打上補(bǔ)丁���。PHP也是一樣�。由于它有一個開源社區(qū)�,補(bǔ)丁和修正版定期發(fā)布���。更新版還為首日漏洞及其他安全漏洞提供了安全補(bǔ)丁。如果你注重應(yīng)用程序的安全性����,就要始終確保你的PHP解決方案是最新版本���。另外����,給其他相關(guān)技術(shù)打上最新的補(bǔ)丁可以確保最大限度的安全��。
9.控制文件系統(tǒng)訪問
默認(rèn)情況下�����,PHP可使用fopen()等函數(shù)來訪問文件����。open_basedir命令提供了訪問。首先�,始終要將open_basedir命令設(shè)成/var/www/html目錄。將它設(shè)成其他任何目錄會導(dǎo)致安全問題����。
open_basedir="/var/www/html/"
10. 控制POST大小
我們的最后一個PHP安全要點(diǎn)是控制POST大小函數(shù)����。HTTP
POST函數(shù)使用客戶端的瀏覽器��,將數(shù)據(jù)發(fā)送到Web服務(wù)器��。比如說��,用戶可能上傳證書�����,然后發(fā)送到Web瀏覽器以便處理��。一切都運(yùn)行順暢����,直到有一天黑客企圖發(fā)送龐大的文件來耗盡服務(wù)器資源�����。這很可能會導(dǎo)致服務(wù)器崩潰或響應(yīng)緩慢�����。為了保護(hù)服務(wù)器遠(yuǎn)離這個漏洞,就需要設(shè)置POST大小�����。POST大小可以在/etc/php.d/security.ini文件里面加以設(shè)置�����。
post_max_size=1k
結(jié)束語
安全是廣大Web開發(fā)人員和Linux管理員最關(guān)注的問題之一���。如果采取了上述要點(diǎn),你勢必可以加強(qiáng)開發(fā)環(huán)境和PHP
Web應(yīng)用程序方面的安全�。要是你認(rèn)為我們遺漏了重要的內(nèi)容,歡迎留言補(bǔ)充��。
看完上述內(nèi)容��,你們對Linux管理員不可不知的PHP安全要點(diǎn)有哪些有進(jìn)一步的了解嗎�?如果還想了解更多知識或者相關(guān)內(nèi)容,請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道�,感謝大家的支持。
本文名稱:Linux管理員不可不知的PHP安全要點(diǎn)有哪些
當(dāng)前路徑:
http://weahome.cn/article/gdodid.html
重慶分公司
重慶分公司
