Nastavení zabezpečení serveru pro Apache a PHP

Nastavení zabezpečení serveru pro Apache a PHP
Obsah
Některé úkoly, které je třeba provést s cílem zajistit větší bezpečnost a vyhnout se problémům, jsou:
Zakažte zobrazování chyb a varování v php, to lze použít ve fázi programování, aby vývojář pomohl zobrazit chyby a poté je deaktivovat, když web vstoupí do fáze produkce.
Zakažte všechna upozornění na chyby
Pomocí následujících proměnných v souboru php.ini:
error_reporting (0);
// Hlášení pouze chyb při provádění
hlášení chyb (E_ERROR | E_WARNING | E_PARSE);
// Nahlaste všechny chyby kromě E_NOTICE
error_reporting (E_ALL ​​E_NOTICE);
// Nahlásit všechny chyby PHP (error_reporting (E_ALL);
Lze je také aktivovat a deaktivovat vložením kódu na začátek stránky, která má být spuštěna.

Vždy je důležité opravit a neskrývat chyby, mnoho vývojářů používá ke skrytí chyb error_reporting (0), ale ty stále existují a lze je využít, vždy se musíme vyvarovat toho, aby jakýkoli kód, který vyvíjíme, měl chyby, ať už je to php, javascript nebo jazyk, který používáme.
Je důležité kontrolovat proměnné a jaká data zadávají.
Změňte příponu souboru
Příponu můžete změnit při vyvolávání a spouštění skriptů v php, v souborech s příponou html.
V konfiguračním souboru apache (httpd.conf)
Hledáme řádek:
Aplikace AddType / x-httpd-php

A přidáme .htm a .html na konec, bylo by to následující:
Aplikace AddType / x-httpd-php .htm .html

Můžeme také vytvořit vlastní příponu, která skryje typ souboru před návštěvníkem
Aplikace AddType / x-httpd-php .bo .sol .tf
To je velmi užitečné z bezpečnostních důvodů. Skrýváme, že je aplikace naprogramována, protože v prohlížeči uvidíte jednoduše .html nebo vlastní rozšíření ve skriptech, které jsou ve skutečnosti php. Tuto metodu používá mnoho webových stránek.
Ověřte, že register_globals je neaktivní
Zakažte register_globals a nepovolujte vytváření proměnných za běhu, mimo jiné pomocí:
register_globals = Vypnuto

Z php.ini to nutí deklarovat všechny proměnné nebo to způsobí chybu.
Deaktivujte vzdálené adresy URL pro funkce, které zpracovávají soubory
Slouží to k tomu, aby soubor na našem serveru nemohl být spuštěn nebo k němu nebylo možné přistupovat z jiného zdroje, v php.ini deaktivujeme allow_url_fopen
allow_url_fopen = Vypnuto

Omezte, ve kterém adresáři PHP může číst nebo spouštět jakýkoli skript nebo proces
open_basedir = /var/www/htdocs/midomino.com

Každá doména může upravit své vlastní php.ini, pokud to správce serveru povolí, i když je to vzácné.
Zakažte Apache HTTP TRACE
HTTP TRACE se používá k vrácení výsledku požadavku, který byl odeslán na server.
Lze jej použít pro útoky typu Cross Site Scripting nebo XSS, takže je nejlepší ho z bezpečnostních důvodů deaktivovat.
Upravujeme v / etc /httpd/conf/httpd.conf
TraceEnable off
Apache je jedním z nejpoužívanějších webových serverů a php je nejpoužívanějším jazykem pro vývoj webových aplikací. S těmito konfiguracemi a nástroji můžeme pomoci posílit zabezpečení našeho webu před možnými útoky.

Vám pomůže rozvoji místa, sdílet stránku s přáteli

wave wave wave wave wave

Populární Příspěvky

wave
1
post-title
Přidat text se stránkami - iPad
2
post-title
Jak nainstalovat Arch Linux do VirtualBoxu
3
post-title
Jak aktivovat ladění USB Samsung Galaxy S10
4
post-title
Rizika a hrozby v mobilních zařízeních a WiFi
5
post-title
▷ Jak NAHRAJTE nebo VLOŽTE příběh GIF.webp do Instagramu

Doporučená

wave
- Sponsored Ad -

Redakce Choice

wave
- Sponsored Ad -