当前位置: 开发笔记 > 编程语言 > 正文

系统管理员应知：十大PHP最佳安全实践

作者：唯忻小十__ | 来源：互联网 | 2013-12-19 11:21

PHP被广泛用于各种Web开发。然而，当服务器端脚本配置错误时会出现各种问题。现今，大部分Web服务器是基于Linux环境下运行（比如：Ubuntu，Debian等）。本文例举了十大PHP最佳安全实践方式，能够让您轻松、安全配置PHP

PHP被广泛用于各种Web开发。而当服务器端脚本配置错误时会出现各种问题。现今，大部分Web服务器是基于Linux环境下运行（比如：Ubuntu，Debian等）。本文例举了十大PHP最佳安全实践方式，能够让您轻松、安全配置PHP。

PHP安全性设置提示：

DocumentRoot: /var/www/

Default Web server: Apache

Default PHP configuration file: /etc/php.ini

Default PHP extensions config directory: /etc/php.d/

Our sample php security config file: /etc/php.d/security.ini (you need to create this file using a text editor)

Operating systems: Ubuntu (the instructions should work with any other Linux distributions such as RHEL / CentOS / Fedora or other Unix like operating systems such as OpenBSD/FreeBSD/HP-UX).

1. 减少PHP内置模块

为了增强性能和安全性，强烈建议，减少PHP中的模块。来看看下面这个被执行命令安装的模块。


	
	
		# php –m

你将会得到类似的结果：

[PHP Modules]
apc
bcmath
bz2
calendar
Core
ctype
curl
date
dom
ereg
exif
fileinfo
filter
ftp
gd
gettext
gmp
hash
iconv
imap
json
libxml
mbstring
memcache
mysql
mysqli
openssl
pcntl
pcre
PDO
pdo_mysql
pdo_sqlite
Phar
readline
Reflection
session
shmop
SimpleXML
sockets
SPL
sqlite3
standard
suhosin
tokenizer
wddx
xml
xmlreader
xmlrpc
xmlwriter
xsl
zip
zlib
[Zend Modules]
Suhosin

删除一个模块，并执行此命令。例如：删除模块sqlite3


	
	
		# rm /etc/php.d/sqlite3.ini

或者

			
				
				
					# mv /etc/php.d/sqlite3.ini /etc/php.d/sqlite3.disableRestrict

2. 使PHP信息泄露最小化

在默认PHP时在HTTP抬头处会生成一条线介于每个响应中，（比如X-Powered-By: PHP/5.2.10）。而这个在系统信息中为攻击者创建了一个非常有价值的信息。

HTTP示例：

			
				
				
					HTTP/1.1 200 OK  
					

						X-Powered-By: PHP/5.2.10  
						

							Content-type: text/html; charset=UTF-8  
							

								Vary: Accept-Encoding, COOKIE  
								

									X-Vary-Options: Accept-Encoding;list-cOntains=gzip,COOKIE;string-cOntains=wikiToken;  
									

										string-cOntains=wikiLoggedOut;string-cOntains=wiki_session 
										

											Last-Modified: Thu, 03 Nov 2011 22:32:55 GMT  
											

												...

因此，我们强烈建议，禁止PHP信息泄露，想要要禁止它，我们要编辑/etc/php.d/secutity.ini，并设置以下指令：

												
													
													
														expose_php=Off

3. 使PHP加载模块最小化

在默认情况下，RHEL加载的所有模块可以在/etc/php.d/目录中找到。要禁用或启用一个特定的模块，只需要在配置文件/etc/php.d/目录中中注释下模块名称。而为了优化PHP性能和安全性，当你的应用程序需要时，我们强烈建议建议启用扩展功能。举个例子：当禁用GD扩展时，键入以下命令：

															
																
																
																	# cd /etc/php.d/  
																	

																		 
																		

																			# mv gd.{ini,disable}  
																			

																				 
																				

																					# /etc/init.d/apache2 restart

为了扩展PGP GD模块，然后键入以下命令：

																					
																						
																						
																							# mv gd.{disable,ini}  
																							

																								 
																								

																									# /sbin/service httpd restart

4. 记录PHP错误信息

为了提高系统和Web应用程序的安全，PHP错误信息不能被暴露出。要做到这一点，需要编辑/etc/php.d/security.ini 文件，并设置以下指令：

																									
																										
																										
																											display_errors=Off

为了便于开发者Bug修复，所有PHP的错误信息都应该记录在日志中。

																									
																										
																										
																											log_errors=On 
																											

																												 
																												

																													error_log=/var/log/httpd/php_scripts_error.log

5. 禁用远程执行代码

如果远程执行代码，允许PHP代码从远程检索数据功能，如FTP或Web通过PHP来执行构建功能。比如：file_get_contents()。

很多程序员使用这些功能，从远程通过FTP或是HTTP协议而获得数据。然而，此法在基于PHP应用程序中会造成一个很大的漏洞。由于大部分程序员在传递用户提供的数据时没有做到适当的过滤功能，打开安全漏洞并且创建了代码时注入了漏洞。要解决此问题，需要禁用_url_fopen in /etc/php.d/security.ini，并设置以下命令：

																														
																															
																															
																																allow_url_fopen=Off

除了这个，我还建议禁用_url_include以提高系统的安全性。

																														
																															
																															
																																allow_url_include=Off

6. 禁用PHP中的危险函数

PHP中有很多危险的内置功能，如果使用不当，它可能使你的系统崩溃。你可以创建一个PHP内置功能列表通过编辑/etc/php.d/security.ini来禁用它。

																														
																															
																															
																																disable_functions =exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

7. 资源控制

为了提高系统的稳定性，强烈建议设置每个脚本解析请求数据所花费的时间和脚本可能消耗的最大内存量。正确的配置这些参数可以防止PHP任何脚本消耗太多的资源或是内存，从而避免系统不安全或降低安全系数。

																														
																															
																															
																																# set in seconds  
																																

																																	 
																																	

																																		max_execution_time = 30 
																																		

																																			 
																																			

																																				max_input_time = 30 
																																				

																																					 
																																					

																																						memory_limit = 40M

8. 限制PHP访问文件系统

该open_basedir指令指定的目录是允许PHP访问使用fopen()等功能。如果任何脚本试图访问超出open_basdir定义的路径文件，PHP将拒绝打开。值得注意的是，你不能使用一个符号链接作为一种变通方法。

																																							
																																								
																																								
																																									; Limits the PHP process from accessing files outside  
																																									

																																										; of specifically designated directories such as /var/www/html/  
																																										

																																											open_basedir="/var/www/html/" 
																																											

																																												; ------------------------------------  
																																												

																																													; Multiple dirs example  
																																													

																																														; open_basedir="/home/httpd/vhost/cyberciti.biz/html/:/home/httpd/vhost/nixcraft.com/html/:/home/httpd/vhost/theos.in/html/" 
																																														

																																															; ------------------------------------

9．限制文件/目录访问

进行适当的安全设置：确保Apache作为非root用户运行，比如www-data或www。对于文件和目录在基于/var/www/下同样属于非root用户。想要更改所有者，执行以下命令：

																																															
																																																
																																																
																																																	# chown -R apache:apache /var/www/

10.编译保护Apache，PHP和MySQL的配置文件

使用charrt命令编译保护配置文件

																																															
																																																
																																																
																																																	# chattr +i /etc/php.ini  
																																																	

																																																		 
																																																		

																																																			# chattr +i /etc/php.d/*  
																																																			

																																																				 
																																																				

																																																					# chattr +i /etc/my.ini  
																																																					

																																																						 
																																																						

																																																							# chattr +i /etc/httpd/conf/httpd.conf  
																																																							

																																																								 
																																																								

																																																									# chattr +i /etc/

使用charrt命令可以编译保护PHP文件或者是文件中的/var/www/html的目录：

																																																									
																																																										
																																																										
																																																											# chattr +i /var/www/html/file1.php  
																																																											

																																																												 
																																																												

																																																													# chattr +i /var/www/html/

推荐阅读

jsp
新浪笔试题

1:有如下一段程序：packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细]

蜡笔小新 2024-12-27 19:32:17
case
MySQL 数据库迁移指南：从本地到远程及磁盘间迁移

本文详细介绍了如何在不同场景下进行 MySQL 数据库的迁移，包括从一个硬盘迁移到另一个硬盘、从一台计算机迁移到另一台计算机，以及解决迁移过程中可能遇到的问题。 ... [详细]

蜡笔小新 2024-12-26 13:21:38
case
深入理解 SQL 视图、存储过程与事务

本文详细介绍了SQL中的视图、存储过程和事务的概念及应用。视图为用户提供了一种灵活的数据查询方式，存储过程则封装了复杂的SQL逻辑，而事务确保了数据库操作的完整性和一致性。 ... [详细]

蜡笔小新 2024-12-27 17:40:42
ip
使用Vultr云服务器和Namesilo域名搭建个人网站

本文详细介绍了如何通过Vultr云服务器和Namesilo域名搭建一个功能齐全的个人网站，包括购买、配置服务器以及绑定域名的具体步骤。文章还提供了详细的命令行操作指南，帮助读者顺利完成建站过程。 ... [详细]

蜡笔小新 2024-12-26 16:36:34
jsp
PHP 5.2.5 安装与配置指南

本文详细介绍了 PHP 5.2.5 的安装和配置步骤，帮助开发者解决常见的环境配置问题，特别是上传图片时遇到的错误。通过本教程，您可以顺利搭建并优化 PHP 运行环境。 ... [详细]

蜡笔小新 2024-12-27 19:05:41
foreach
MyBatis 动态 SQL 详解与应用

本文深入探讨 MyBatis 中动态 SQL 的使用方法，包括 if/where、trim 自定义字符串截取规则、choose 分支选择、封装查询和修改条件的 where/set 标签、批量处理的 foreach 标签以及内置参数和 bind 的用法。 ... [详细]

蜡笔小新 2024-12-27 16:20:10
jsp
网站与MySQL数据库的连接与交互

本文详细介绍了如何通过多种编程语言（如PHP、JSP）实现网站与MySQL数据库的连接，包括创建数据库、表的基本操作，以及数据的读取和写入方法。 ... [详细]

蜡笔小新 2024-12-27 14:09:23
ip
如何配置Unturned服务器及其消息设置

本文详细介绍了Unturned服务器的配置方法和消息设置技巧，帮助用户了解并优化服务器管理。同时，提供了关于云服务资源操作记录、远程登录设置以及文件传输的相关补充信息。 ... [详细]

蜡笔小新 2024-12-27 13:47:38
ip
360SRC安全应急响应：从漏洞提交到修复的全过程

本文详细介绍了360SRC平台处理一起关键安全事件的过程，涵盖从漏洞提交、验证、排查到最终修复的各个环节。通过这一案例，展示了360在安全应急响应方面的专业能力和严谨态度。 ... [详细]

蜡笔小新 2024-12-27 11:10:05
ip
MySQL缓存机制深度解析

本文详细探讨了MySQL的缓存机制，包括主从复制、读写分离以及缓存同步策略等内容。通过理解这些概念和技术，读者可以更好地优化数据库性能。 ... [详细]

蜡笔小新 2024-12-26 15:15:06
ip
网络运维工程师的前景与薪酬分析

网络运维工程师负责确保企业IT基础设施的稳定运行，保障业务连续性和数据安全。他们需要具备多种技能，包括搭建和维护网络环境、监控系统性能、处理突发事件等。本文将探讨网络运维工程师的职业前景及其平均薪酬水平。 ... [详细]

蜡笔小新 2024-12-26 14:35:04
ip
基于KVM的SRIOV直通配置及性能测试

SRIOV介绍、VF直通配置，以及包转发率性能测试小慢哥的原创文章，欢迎转载目录?1.SRIOV介绍?2.环境说明?3.开启SRIOV?4.生成VF?5.VF ... [详细]

蜡笔小新 2024-12-25 19:26:39
ip
优化联通光猫DNS服务器设置

本文详细介绍了如何为联通光猫配置DNS服务器地址，以提高网络解析效率和访问体验。通过智能线路解析功能，域名解析可以根据访问者的IP来源和类型进行差异化处理，从而实现更优的网络性能。 ... [详细]

蜡笔小新 2024-12-28 11:28:18
ip
Dockerfile 编写与 Docker 网络配置详解

本文详细介绍了 Dockerfile 的编写方法及其在网络配置中的应用，涵盖基础指令、镜像构建与发布流程，并深入探讨了 Docker 的默认网络、容器互联及自定义网络的实现。 ... [详细]

蜡笔小新 2024-12-27 17:31:41
ip
macOS系统及其关键功能解析

本文详细介绍了macOS系统的核心组件，包括如何管理其安全特性——系统完整性保护（SIP），并探讨了不同版本的更新亮点。对于使用macOS系统的用户来说，了解这些信息有助于更好地管理和优化系统性能。 ... [详细]

蜡笔小新 2024-12-26 18:05:04

唯忻小十__

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章