Obsah
Některé úkoly, které je třeba provést s cílem zajistit větší bezpečnost a vyhnout se problémům, jsou:Zakažte zobrazování chyb a varování v php, to lze použít ve fázi programování, aby vývojář pomohl zobrazit chyby a poté je deaktivovat, když web vstoupí do fáze produkce.
Zakažte všechna upozornění na chyby
Pomocí následujících proměnných v souboru php.ini:
error_reporting (0);// Hlášení pouze chyb při provádění
hlášení chyb (E_ERROR | E_WARNING | E_PARSE);// Nahlaste všechny chyby kromě E_NOTICE
error_reporting (E_ALL E_NOTICE);// Nahlásit všechny chyby PHP (error_reporting (E_ALL);
Lze je také aktivovat a deaktivovat vložením kódu na začátek stránky, která má být spuštěna.
Vždy je důležité opravit a neskrývat chyby, mnoho vývojářů používá ke skrytí chyb error_reporting (0), ale ty stále existují a lze je využít, vždy se musíme vyvarovat toho, aby jakýkoli kód, který vyvíjíme, měl chyby, ať už je to php, javascript nebo jazyk, který používáme.
Je důležité kontrolovat proměnné a jaká data zadávají.
Změňte příponu souboru
Příponu můžete změnit při vyvolávání a spouštění skriptů v php, v souborech s příponou html.
V konfiguračním souboru apache (httpd.conf)
Hledáme řádek:
Aplikace AddType / x-httpd-php
A přidáme .htm a .html na konec, bylo by to následující:
Aplikace AddType / x-httpd-php .htm .html
Můžeme také vytvořit vlastní příponu, která skryje typ souboru před návštěvníkem
Aplikace AddType / x-httpd-php .bo .sol .tfTo je velmi užitečné z bezpečnostních důvodů. Skrýváme, že je aplikace naprogramována, protože v prohlížeči uvidíte jednoduše .html nebo vlastní rozšíření ve skriptech, které jsou ve skutečnosti php. Tuto metodu používá mnoho webových stránek.
Ověřte, že register_globals je neaktivní
Zakažte register_globals a nepovolujte vytváření proměnných za běhu, mimo jiné pomocí:
register_globals = Vypnuto
Z php.ini to nutí deklarovat všechny proměnné nebo to způsobí chybu.
Deaktivujte vzdálené adresy URL pro funkce, které zpracovávají soubory
Slouží to k tomu, aby soubor na našem serveru nemohl být spuštěn nebo k němu nebylo možné přistupovat z jiného zdroje, v php.ini deaktivujeme allow_url_fopen
allow_url_fopen = Vypnuto
Omezte, ve kterém adresáři PHP může číst nebo spouštět jakýkoli skript nebo proces
open_basedir = /var/www/htdocs/midomino.com
Každá doména může upravit své vlastní php.ini, pokud to správce serveru povolí, i když je to vzácné.
Zakažte Apache HTTP TRACE
HTTP TRACE se používá k vrácení výsledku požadavku, který byl odeslán na server.
Lze jej použít pro útoky typu Cross Site Scripting nebo XSS, takže je nejlepší ho z bezpečnostních důvodů deaktivovat.
Upravujeme v / etc /httpd/conf/httpd.conf
TraceEnable off
Apache je jedním z nejpoužívanějších webových serverů a php je nejpoužívanějším jazykem pro vývoj webových aplikací. S těmito konfiguracemi a nástroji můžeme pomoci posílit zabezpečení našeho webu před možnými útoky.