Linux管理員須知的十大PHP安全要點

相關推薦

　　廣大開發人員擔心的主要問題是PHP的安全，即使PHP提供從里到外的可靠安全，但是仍需要由開發人員正確地落實這些安全機制。下面小編給大家提供的是Linux管理員須知的十大PHP安全要點，大家可以參考閱讀，更多詳情請關注應屆畢業生考試網。

　　在我們開始之前，有必要了解一下我們所要處理的系統。出于演示的需要，我們使用Fedora。然而，這些要點應該適用于Ubuntu版本或其他任何Linux發行版。查看你操作系統發行版的使用手冊，即可了解更多信息。

　　不妨仔細看一下我們系統環境的幾個關鍵文件。你的文件應該類似或對應于下列：

　　默認的Web服務器：Apache

　　DocumentRoot：/var/www/html

　　PHP配置文件：/etc/php.ini

　　擴展配置目錄：/etc/php.d/

　　安全文件：/etc/php.d/security.ini

　　這些技巧將保護你的網站，避免不同類型的常見攻擊，比如SQL注入、XSS、跨站請求偽造攻擊、eval()和文件上傳等攻擊。

　　1. 刪除不必要的模塊。

　　PHP隨帶內置的PHP模塊。它們對許多任務來說很有用，但是不是每個項目都需要它們。只要輸入下面這個命令，就可以查看可用的PHP模塊：

　　# php – m

　　一旦你查看了列表，現在可以刪除不必要的模塊。減少模塊的數量有助于提高你所處理的Web應用程序的性能和安全。

　　2. 限制PHP信息泄露。

　　平臺泄露關鍵信息司空見慣。比如說，PHP會泄露一些信息，比如版本以及它安裝到服務器上的事實。這可以通過expose_php命令來實現。為了防止泄露，你需要在/etc/php.d/security.ini中將該命令設成off。

　　expose_php=Off

　　如果你需要了解版本及其狀態，只要針對網站地址運行一個簡單的Curl命令就可以獲得該信息。

　　Curl – I http://www.livecoding.tv/index.php

　　之前的命令會返回下列信息：

　　HTTP/1.1 200 OK

　　X-Powered-By: PHP/7.0.10

　　Content-type: text/html; charset=UTF-8

　　3. 禁用遠程代碼執行。

　　遠程代碼執行是PHP安全系統方面的常見安全漏洞之一。默認情況下，遠程代碼執行在你的系統上已被啟用。“allow_url_fopen”命令允許請求 (require)、包括(include)或可識別URL的fopen包裝器等函數可以直接訪問PHP文件。遠程訪問通過使用HTTP或FTP協議來實現，會導致系統無力防御代碼注入安全漏洞。

　　為了確保你的系統安全可靠、遠離遠程代碼執行，你可以將該命令設成“Off”，如下所示：

　　Allow_url_fopen=Off

　　allow_url_include=Off

　　4. 將PHP錯誤記入日志。

　　加強Web應用程序安全的另一個簡單方法就是，不向訪客顯示錯誤。這將確保黑客根本無法危及網站的安全性。需要在/etc/php.d/security.ini文件里面進行編輯。

　　display_errors=Off

　　現在你可能會想：完成這一步后，“開發人員在沒有錯誤信息的幫助下如何調試?”開發人員可以使用log_errors命令來用于調試。他們只需要在security.ini文件中將log_errors命令設成“On”。

　　log_errors=On

　　error_log=/var/log/httpd/php_scripts_error.log

　　5. 合理控制資源。

　　為了確保應用程序的安全，控制資源很重要。為了確保適當的執行和安全，你就要對PHP腳本執行予以限制。此外，還應該對花在解析請求數據上的時間予以限制。如果執行時間受到控制，腳本使用的內存等其他資源也應該會得到相應配置。所有這些度量指標可通過編輯security.ini文件來加以管理。

　　# set in seconds

　　max_execution_time = 25

　　max_input_time = 25

　　memory_limit = 30M

　　6. 禁用危險的PHP函數

　　PHP隨帶用于開發的實用函數，但是也有可能被黑客用來闖入Web應用程序的大量函數。禁用這些函數可以提高總體安全性，并確保你沒有受到危險的PHP函數的影響。

　　為此，你先要編輯php.ini文件。一旦進入該文件，找到disable_functions命令，禁用里面的危險函數。為此，你只要拷貝/粘貼下列代碼。

　　disable_functions =exec,passthru,

　　shell_exec,system,proc_open,popen,curl_exec,

　　curl_multi_exec,parse_ini_file,show_source

　　7. 上傳文件。

　　如果你的應用程序不需要上傳任何文件，禁用上傳文件的功能有助于提高安全。想禁止用戶上傳文件，只需要編輯/etc/php.d/目錄下的security.ini文件，將file_uploads命令設成OFF。

　　file_uploads=Off

　　8. 保持版本最新。

　　開發人員在24/7不間斷地工作，給你使用的技術打上補丁。PHP也是一樣。由于它有一個開源社區，補丁和修正版定期發布。更新版還為首日漏洞及其他安全漏洞提供了安全補丁。如果你注重應用程序的安全性，就要始終確保你的PHP解決方案是最新版本。另外，給其他相關技術打上最新的補丁可以確保最大限度的安全。

　　9.控制文件系統訪問。

　　默認情況下，PHP可使用fopen()等函數來訪問文件。open_basedir命令提供了訪問。首先，始終要將open_basedir命令設成/var/www/html目錄。將它設成其他任何目錄會導致安全問題。

　　open_basedir=“/var/www/html/”

　　10. 控制POST大小。

　　我們的最后一個PHP安全要點是控制POST大小函數。HTTP POST函數使用客戶端的瀏覽器，將數據發送到Web服務器。比如說，用戶可能上傳證書，然后發送到Web瀏覽器以便處理。一切都運行順暢，直到有一天黑客企圖發送龐大的文件來耗盡服務器資源。這很可能會導致服務器崩潰或響應緩慢。為了保護服務器遠離這個漏洞，就需要設置POST大小。POST大小可以在 /etc/php.d/security.ini文件里面加以設置。

　　post_max_size=1k

【Linux管理員須知的十大PHP安全要點】相關文章：

Linux管理員不可不知十大PHP安全要點10-08

怎么在linux的CLI下運行php文件11-05

PHP腳本修改Linux系統口令的方法09-05

Linux+Apache+Mysql+PHP優化技巧10-23