系统管理员应知:十大PHP最佳安全实践
导读:本文来自知名时尚媒体ELLE(大陆版即《世界时装之苑》)网站的香港工程师Anson Cheung。文中他例举了有关PHP10个方面的最佳安全实践方式,供系统管理员学习与参考。 原文是《Top 10 PHP Best Security Practices for Sys Admins》, 以下是译文: PHP
导读:本文来自知名时尚媒体ELLE(大陆版即《世界时装之苑》)网站的香港工程师Anson Cheung。文中他例举了有关PHP10个方面的最佳安全实践方式,供系统管理员学习与参考。原文是《Top 10 PHP Best Security Practices for Sys Admins》,以下是译文:
PHP被广泛用于各种Web开发。而当服务器端脚本配置错误时会出现各种问题。现今,大部分Web服务器是基于Linux环境下运行(比如:Ubuntu,Debian等)。本文例举了十大PHP最佳安全实践方式,能够让您轻松、安全配置PHP。
PHP安全性设置提示:
| DocumentRoot: /var/www/
Default Web server: Apache Default PHP configuration file: /etc/php.ini Default PHP extensions config directory: /etc/php.d/ Our sample php security config file: /etc/php.d/security.ini (you need to create this file using a text editor) Operating systems: Ubuntu (the instructions should work with any other Linux distributions such as RHEL / CentOS / Fedora or other Unix like operating systems such as OpenBSD/FreeBSD/HP-UX). |
1. 减少PHP内置模块
为了增强性能和安全性,强烈建议,减少PHP中的模块。来看看下面这个被执行命令安装的模块。
<ol><li><span><span># php –m </span></span></li></ol>
你将会得到类似的结果:
| [PHP Modules] apc bcmath bz2 calendar Core ctype curl date dom ereg exif fileinfo filter ftp gd gettext gmp hash iconv imap json libxml mbstring memcache mysql mysqli openssl pcntl pcre PDO pdo_mysql pdo_sqlite Phar readline Reflection session shmop SimpleXML sockets SPL sqlite3 standard suhosin tokenizer wddx xml xmlreader xmlrpc xmlwriter xsl zip zlib [Zend Modules] Suhosin |
删除一个模块,并执行此命令。例如:删除模块sqlite3
<ol> <li><span><span># rm /etc/php.d/sqlite3.ini </span></span></li> <li><span> </span></li> </ol>
或者
<ol><li><span><span># mv /etc/php.d/sqlite3.ini /etc/php.d/sqlite3.disableRestrict </span></span></li></ol>
2. 使PHP信息泄露最小化
在默认PHP时在HTTP抬头处会生成一条线介于每个响应中,(比如X-Powered-By: PHP/5.2.10)。而这个在系统信息中为攻击者创建了一个非常有价值的信息。
HTTP示例:
<ol> <li><span><span>HTTP/1.1 200 OK </span></span></li> <li><span>X-Powered-By: PHP/5.2.10 </span></li> <li> <span>Content-type: text/html; </span><span>charset</span><span>=</span><span>UTF</span><span>-8 </span> </li> <li><span>Vary: Accept-Encoding, Cookie </span></li> <li> <span>X-Vary-Options: Accept-Encoding;</span><span>list-contains</span><span>=</span><span>gzip</span><span>,Cookie;</span><span>string-contains</span><span>=</span><span>wikiToken</span><span>; </span> </li> <li> <span>string-contains</span><span>=</span><span>wikiLoggedOut</span><span>;</span><span>string-contains</span><span>=</span><span>wiki_session</span><span> </span> </li> <li><span>Last-Modified: Thu, 03 Nov 2011 22:32:55 GMT </span></li> <li><span>... </span></li> </ol>
因此,我们强烈建议,禁止PHP信息泄露,想要要禁止它,我们要编辑/etc/php.d/secutity.ini,并设置以下指令:
<ol> <li><span><span>expose_php</span><span>=</span><span>Off</span><span> </span></span></li> <li><span> </span></li> </ol>
3. 使PHP加载模块最小化
在默认情况下,RHEL加载的所有模块可以在/etc/php.d/目录中找到。要禁用或启用一个特定的模块,只需要在配置文件/etc/php.d/目录中中注释下模块名称。而为了优化PHP性能和安全性,当你的应用程序需要时,我们强烈建议建议启用扩展功能。举个例子:当禁用GD扩展时,键入以下命令:
<ol>
<li><span><span># cd /etc/php.d/ </span></span></li>
<li><span> </span></li>
<li><span># mv gd.{ini,disable} </span></li>
<li><span> </span></li>
<li><span># /etc/init.d/apache2 restart </span></li>
</ol>为了扩展PGP GD模块,然后键入以下命令:
<ol>
<li><span><span># mv gd.{disable,ini} </span></span></li>
<li><span> </span></li>
<li><span># /sbin/service httpd restart </span></li>
</ol>4. 记录PHP错误信息
为了提高系统和Web应用程序的安全,PHP错误信息不能被暴露出。要做到这一点,需要编辑/etc/php.d/security.ini 文件,并设置以下指令:
<ol><li><span><span>display_errors</span><span>=</span><span>Off</span><span> </span></span></li></ol>
为了便于开发者Bug修复,所有PHP的错误信息都应该记录在日志中。
<ol> <li><span><span>log_errors</span><span>=</span><span>On</span><span> </span></span></li> <li><span> </span></li> <li> <span>error_log</span><span>=/var/log/httpd/php_scripts_error.log </span> </li> <li><span> </span></li> </ol>
5. 禁用远程执行代码
如果远程执行代码,允许PHP代码从远程检索数据功能,如FTP或Web通过PHP来执行构建功能。比如:file_get_contents()。
很多程序员使用这些功能,从远程通过FTP或是HTTP协议而获得数据。然而,此法在基于PHP应用程序中会造成一个很大的漏洞。由于大部分程序员在传递用户提供的数据时没有做到适当的过滤功能,打开安全漏洞并且创建了代码时注入了漏洞。要解决此问题,需要禁用_url_fopen in /etc/php.d/security.ini,并设置以下命令:
<ol><li><span><span>allow_url_fopen</span><span>=</span><span>Off</span><span> </span></span></li></ol>
除了这个,我还建议禁用_url_include以提高系统的安全性。
<ol><li><span><span>allow_url_include</span><span>=</span><span>Off</span><span> </span></span></li></ol>
6. 禁用PHP中的危险函数
PHP中有很多危险的内置功能,如果使用不当,它可能使你的系统崩溃。你可以创建一个PHP内置功能列表通过编辑/etc/php.d/security.ini来禁用它。
<ol><li><span><span>disable_functions</span><span> =</span><span>exec</span><span>,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source </span></span></li></ol>
7. 资源控制
为了提高系统的稳定性,强烈建议设置每个脚本解析请求数据所花费的时间和脚本可能消耗的最大内存量。正确的配置这些参数可以防止PHP任何脚本消耗太多的资源或是内存,从而避免系统不安全或降低安全系数。
<ol> <li><span><span># set in seconds </span></span></li> <li><span> </span></li> <li> <span>max_execution_time</span><span> = </span><span>30</span><span> </span> </li> <li><span> </span></li> <li> <span>max_input_time</span><span> = </span><span>30</span><span> </span> </li> <li><span> </span></li> <li> <span>memory_limit</span><span> = </span><span>40M</span><span> </span> </li> <li><span> </span></li> </ol>
8. 限制PHP访问文件系统
该open_basedir指令指定的目录是允许PHP访问使用fopen()等功能。如果任何脚本试图访问超出open_basdir定义的路径文件,PHP将拒绝打开。值得注意的是,你不能使用一个符号链接作为一种变通方法。
<ol> <li><span><span>; Limits the PHP process from accessing files outside </span></span></li> <li><span>; of specifically designated directories such as /var/www/html/ </span></li> <li> <span>open_basedir</span><span>=</span><span>"/var/www/html/"</span><span> </span> </li> <li><span>; ------------------------------------ </span></li> <li><span>; Multiple dirs example </span></li> <li> <span>; </span><span>open_basedir</span><span>=</span><span>"/home/httpd/vhost/cyberciti.biz/html/:/home/httpd/vhost/nixcraft.com/html/:/home/httpd/vhost/theos.in/html/"</span><span> </span> </li> <li><span>; ------------------------------------ </span></li> </ol>
9.限制文件/目录访问
进行适当的安全设置:确保Apache作为非root用户运行,比如www-data或www。对于文件和目录在基于/var/www/下同样属于非root用户。想要更改所有者,执行以下命令:
<ol><li><span><span># chown -R apache:apache /var/www/ </span></span></li></ol>
10.编译保护Apache,PHP和MySQL的配置文件
使用charrt命令编译保护配置文件
<ol> <li><span><span># chattr +i /etc/php.ini </span></span></li> <li><span> </span></li> <li><span># chattr +i /etc/php.d/* </span></li> <li><span> </span></li> <li><span># chattr +i /etc/my.ini </span></li> <li><span> </span></li> <li><span># chattr +i /etc/httpd/conf/httpd.conf </span></li> <li><span> </span></li> <li><span># chattr +i /etc/ </span></li> </ol>
使用charrt命令可以编译保护PHP文件或者是文件中的/var/www/html的目录:
<ol> <li><span><span># chattr +i /var/www/html/file1.php </span></span></li> <li><span> </span></li> <li><span># chattr +i /var/www/html/ </span></li> </ol>
英文出自:ansoncheung.tk
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
记事本++7.3.1
好用且免费的代码编辑器
SublimeText3汉化版
中文版,非常好用
禅工作室 13.0.1
功能强大的PHP集成开发环境
Dreamweaver CS6
视觉化网页开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
在PHP API中说明JSON Web令牌(JWT)及其用例。
Apr 05, 2025 am 12:04 AM
JWT是一种基于JSON的开放标准,用于在各方之间安全地传输信息,主要用于身份验证和信息交换。1.JWT由Header、Payload和Signature三部分组成。2.JWT的工作原理包括生成JWT、验证JWT和解析Payload三个步骤。3.在PHP中使用JWT进行身份验证时,可以生成和验证JWT,并在高级用法中包含用户角色和权限信息。4.常见错误包括签名验证失败、令牌过期和Payload过大,调试技巧包括使用调试工具和日志记录。5.性能优化和最佳实践包括使用合适的签名算法、合理设置有效期、
解释PHP中的晚期静态绑定(静态::)。
Apr 03, 2025 am 12:04 AM
静态绑定(static::)在PHP中实现晚期静态绑定(LSB),允许在静态上下文中引用调用类而非定义类。1)解析过程在运行时进行,2)在继承关系中向上查找调用类,3)可能带来性能开销。
什么是PHP魔术方法(__ -construct,__destruct,__call,__get,__ set等)并提供用例?
Apr 03, 2025 am 12:03 AM
PHP的魔法方法有哪些?PHP的魔法方法包括:1.\_\_construct,用于初始化对象;2.\_\_destruct,用于清理资源;3.\_\_call,处理不存在的方法调用;4.\_\_get,实现动态属性访问;5.\_\_set,实现动态属性设置。这些方法在特定情况下自动调用,提升代码的灵活性和效率。
PHP和Python:比较两种流行的编程语言
Apr 14, 2025 am 12:13 AM
PHP和Python各有优势,选择依据项目需求。1.PHP适合web开发,尤其快速开发和维护网站。2.Python适用于数据科学、机器学习和人工智能,语法简洁,适合初学者。
PHP行动:现实世界中的示例和应用程序
Apr 14, 2025 am 12:19 AM
PHP在电子商务、内容管理系统和API开发中广泛应用。1)电子商务:用于购物车功能和支付处理。2)内容管理系统:用于动态内容生成和用户管理。3)API开发:用于RESTfulAPI开发和API安全性。通过性能优化和最佳实践,PHP应用的效率和可维护性得以提升。
PHP:网络开发的关键语言
Apr 13, 2025 am 12:08 AM
PHP是一种广泛应用于服务器端的脚本语言,特别适合web开发。1.PHP可以嵌入HTML,处理HTTP请求和响应,支持多种数据库。2.PHP用于生成动态网页内容,处理表单数据,访问数据库等,具有强大的社区支持和开源资源。3.PHP是解释型语言,执行过程包括词法分析、语法分析、编译和执行。4.PHP可以与MySQL结合用于用户注册系统等高级应用。5.调试PHP时,可使用error_reporting()和var_dump()等函数。6.优化PHP代码可通过缓存机制、优化数据库查询和使用内置函数。7
PHP的持久相关性:它还活着吗?
Apr 14, 2025 am 12:12 AM
PHP仍然具有活力,其在现代编程领域中依然占据重要地位。1)PHP的简单易学和强大社区支持使其在Web开发中广泛应用;2)其灵活性和稳定性使其在处理Web表单、数据库操作和文件处理等方面表现出色;3)PHP不断进化和优化,适用于初学者和经验丰富的开发者。
说明匹配表达式(PHP 8)及其与开关的不同。
Apr 06, 2025 am 12:03 AM
在PHP8 中,match表达式是一种新的控制结构,用于根据表达式的值返回不同的结果。1)它类似于switch语句,但返回值而非执行语句块。2)match表达式使用严格比较(===),提升了安全性。3)它避免了switch语句中可能的break遗漏问题,增强了代码的简洁性和可读性。
