中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

PHP安全的必備技巧

發布時間:2020-10-27 10:03:58 來源:億速云 閱讀:143 作者:小新 欄目:編程語言

這篇文章給大家分享的是有關PHP安全的必備技巧的內容。小編覺得挺實用的,因此分享給大家做個參考。一起跟隨小編過來看看吧。

                                                       

你好,PHP 開發人員。 在這篇文章中,我將嘗試為你提供一些可以提高 PHP 應用程序安全性的具體步驟。我關注的是 PHP 配置本身,所以我們不會討論 SQL 注入、HTTPS 或其他與 PHP 無關的問題。

我將使用我的docker-entrypoint.sh腳本中的 bash 行來說明示例,但當然你可以將其應用于非 docker 環境。

Sessions

使用較長的 Session ID 長度

增加會話 id 長度會使攻擊者更難猜到(通過暴力或更有可能的側通道攻擊)。長度可以介于22 到 256 個字符之間。默認值為 32。

sed -i -e "s/session.sid_length = 26/session.sid_length = 42/" /etc/php7/php.ini

(別問我為什么在 Alpine Linux 上是26…)

你可能還想查看 session.sid_bits_per_character。

使用具有限制權限的自定義會話保存路徑

只有 nginx/php 需要訪問會話,所以讓我們將它們放在一個具有受限權限的特殊文件夾中。

sed -i -e "s:;session.save_path = \"/tmp\":session.save_path = \"/sessions\":" /etc/php7/php.ini
mkdir -p /sessions
chown nginx:nginx /sessions
chmod 700 /sessions

當然,如果你使用 Redis 處理會話,你并不需要關心這一部分;)

安全會話 Cookie

session.cookie_httponly來阻止 javascript 訪問它們。更多信息。

sed -i -e "s/session.cookie_httponly.*/session.cookie_httponly = true/" /etc/php7/php.ini
sed -i -e "s/;session.cookie_secure.*/session.cookie_secure = true/" /etc/php7/php.ini

session.cookie_secure 防止你的 cookie 在明文 HTTP 上傳輸。

session.cookie_samesite 以防止跨站點攻擊。僅適用于最新的 PHP/瀏覽器。

使用嚴格模式

由于 Cookie 規范,攻擊者能夠通過本地設置 Cookie 數據庫或 JavaScript 注入來放置不可移除的會話 ID Cookie。session.use_strict_mode 可以防止使用攻擊者初始化的會話 ID。

限制生存期

會話應與瀏覽器一起關閉。因此設置 session.cookie_lifetime 為0。

Open_basedir

open_basedir 是一個php.ini配置選項,允許你限制 PHP 可以訪問的文件/目錄。

sed -i -e "s#;open_basedir =#open_basedir = /elabftw/:/tmp/:/usr/bin/unzip#" /etc/php7/php.ini

這里我添加了 unzip,因為它是由 Composer 使用的。 /elabftw是所有源 php 文件所在的位置。我不記得為什么/tmp會在這里,但肯定有原因。

禁用功能

這一點要小心,因為你很容易搞砸一個應用程序。但這絕對值得調查。假設攻擊者以某種方式上傳了一個 webshell,如果正確禁用了,webshell 將不會真正工作,因為shell_exec將被禁用,同類也將被禁用。我提供了一個適用于elabftw 的列表,但并不是百分之百完成。

sed -i -e "s/disable_functions =/disable_functions = php_uname, getmyuid, getmypid, passthru, leak, listen, diskfreespace, tmpfile, link, ignore_user_abort, shell_exec, dl, system, highlight_file, source, show_source, fpaththru, virtual, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_times, posix_ttyname, posix_uname, phpinfo/" /etc/php7/php.ini

禁用 url_fopen

allow_url_fopen 這個選項很危險的。禁用它。更多信息在此處。

sed -i -e "s/allow_url_fopen = On/allow_url_fopen = Off/" /etc/php7/php.ini

禁用 cgi.fix_pathinfo

你不想讓非 PHP 文件作為 PHP 文件執行,對嗎?那就禁用此功能。更多信息。

sed -i -e "s/;cgi.fix_pathinfo=1/cgi.fix_pathinfo=0/g" /etc/php7/php.ini

隱藏 PHP 版本

最后,不假思索地說:

sed -i -e "s/expose_php = On/expose_php = Off/g" /etc/php7/php.ini

現在就這樣。我希望你會發現這篇文章很有用,并改進你的配置;)

感謝各位的閱讀!關于PHP安全的必備技巧就分享到這里了,希望以上內容可以對大家有一定的幫助,讓大家可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到吧!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

php
AI

浪卡子县| 河西区| 嘉义县| 噶尔县| 城步| 洪湖市| 洛宁县| 衡阳市| 田阳县| 将乐县| 黄陵县| 永康市| 新蔡县| 泾川县| 卓资县| 扶绥县| 汉源县| 弥渡县| 油尖旺区| 阳原县| 屏南县| 崇仁县| 筠连县| 六盘水市| 谢通门县| 泸州市| 丹江口市| 临海市| 广宗县| 曲松县| 山东省| 耿马| 广宁县| 东光县| 崇信县| 浦县| 静乐县| 三门峡市| 曲沃县| 南昌市| 万源市|