当前位置: 开发笔记 > 编程语言 > 正文

系统管理员应知：十大PHP最佳安全实践

作者：唯忻小十__ | 来源：互联网 | 2013-12-19 11:21

PHP被广泛用于各种Web开发。然而，当服务器端脚本配置错误时会出现各种问题。现今，大部分Web服务器是基于Linux环境下运行（比如：Ubuntu，Debian等）。本文例举了十大PHP最佳安全实践方式，能够让您轻松、安全配置PHP

PHP被广泛用于各种Web开发。而当服务器端脚本配置错误时会出现各种问题。现今，大部分Web服务器是基于Linux环境下运行（比如：Ubuntu，Debian等）。本文例举了十大PHP最佳安全实践方式，能够让您轻松、安全配置PHP。

PHP安全性设置提示：

DocumentRoot: /var/www/

Default Web server: Apache

Default PHP configuration file: /etc/php.ini

Default PHP extensions config directory: /etc/php.d/

Our sample php security config file: /etc/php.d/security.ini (you need to create this file using a text editor)

Operating systems: Ubuntu (the instructions should work with any other Linux distributions such as RHEL / CentOS / Fedora or other Unix like operating systems such as OpenBSD/FreeBSD/HP-UX).

1. 减少PHP内置模块

为了增强性能和安全性，强烈建议，减少PHP中的模块。来看看下面这个被执行命令安装的模块。


	
	
		# php –m

你将会得到类似的结果：

[PHP Modules]
apc
bcmath
bz2
calendar
Core
ctype
curl
date
dom
ereg
exif
fileinfo
filter
ftp
gd
gettext
gmp
hash
iconv
imap
json
libxml
mbstring
memcache
mysql
mysqli
openssl
pcntl
pcre
PDO
pdo_mysql
pdo_sqlite
Phar
readline
Reflection
session
shmop
SimpleXML
sockets
SPL
sqlite3
standard
suhosin
tokenizer
wddx
xml
xmlreader
xmlrpc
xmlwriter
xsl
zip
zlib
[Zend Modules]
Suhosin

删除一个模块，并执行此命令。例如：删除模块sqlite3


	
	
		# rm /etc/php.d/sqlite3.ini

或者

			
				
				
					# mv /etc/php.d/sqlite3.ini /etc/php.d/sqlite3.disableRestrict

2. 使PHP信息泄露最小化

在默认PHP时在HTTP抬头处会生成一条线介于每个响应中，（比如X-Powered-By: PHP/5.2.10）。而这个在系统信息中为攻击者创建了一个非常有价值的信息。

HTTP示例：

			
				
				
					HTTP/1.1 200 OK  
					

						X-Powered-By: PHP/5.2.10  
						

							Content-type: text/html; charset=UTF-8  
							

								Vary: Accept-Encoding, COOKIE  
								

									X-Vary-Options: Accept-Encoding;list-cOntains=gzip,COOKIE;string-cOntains=wikiToken;  
									

										string-cOntains=wikiLoggedOut;string-cOntains=wiki_session 
										

											Last-Modified: Thu, 03 Nov 2011 22:32:55 GMT  
											

												...

因此，我们强烈建议，禁止PHP信息泄露，想要要禁止它，我们要编辑/etc/php.d/secutity.ini，并设置以下指令：

												
													
													
														expose_php=Off

3. 使PHP加载模块最小化

在默认情况下，RHEL加载的所有模块可以在/etc/php.d/目录中找到。要禁用或启用一个特定的模块，只需要在配置文件/etc/php.d/目录中中注释下模块名称。而为了优化PHP性能和安全性，当你的应用程序需要时，我们强烈建议建议启用扩展功能。举个例子：当禁用GD扩展时，键入以下命令：

															
																
																
																	# cd /etc/php.d/  
																	

																		 
																		

																			# mv gd.{ini,disable}  
																			

																				 
																				

																					# /etc/init.d/apache2 restart

为了扩展PGP GD模块，然后键入以下命令：

																					
																						
																						
																							# mv gd.{disable,ini}  
																							

																								 
																								

																									# /sbin/service httpd restart

4. 记录PHP错误信息

为了提高系统和Web应用程序的安全，PHP错误信息不能被暴露出。要做到这一点，需要编辑/etc/php.d/security.ini 文件，并设置以下指令：

																									
																										
																										
																											display_errors=Off

为了便于开发者Bug修复，所有PHP的错误信息都应该记录在日志中。

																									
																										
																										
																											log_errors=On 
																											

																												 
																												

																													error_log=/var/log/httpd/php_scripts_error.log

5. 禁用远程执行代码

如果远程执行代码，允许PHP代码从远程检索数据功能，如FTP或Web通过PHP来执行构建功能。比如：file_get_contents()。

很多程序员使用这些功能，从远程通过FTP或是HTTP协议而获得数据。然而，此法在基于PHP应用程序中会造成一个很大的漏洞。由于大部分程序员在传递用户提供的数据时没有做到适当的过滤功能，打开安全漏洞并且创建了代码时注入了漏洞。要解决此问题，需要禁用_url_fopen in /etc/php.d/security.ini，并设置以下命令：

																														
																															
																															
																																allow_url_fopen=Off

除了这个，我还建议禁用_url_include以提高系统的安全性。

																														
																															
																															
																																allow_url_include=Off

6. 禁用PHP中的危险函数

PHP中有很多危险的内置功能，如果使用不当，它可能使你的系统崩溃。你可以创建一个PHP内置功能列表通过编辑/etc/php.d/security.ini来禁用它。

																														
																															
																															
																																disable_functions =exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

7. 资源控制

为了提高系统的稳定性，强烈建议设置每个脚本解析请求数据所花费的时间和脚本可能消耗的最大内存量。正确的配置这些参数可以防止PHP任何脚本消耗太多的资源或是内存，从而避免系统不安全或降低安全系数。

																														
																															
																															
																																# set in seconds  
																																

																																	 
																																	

																																		max_execution_time = 30 
																																		

																																			 
																																			

																																				max_input_time = 30 
																																				

																																					 
																																					

																																						memory_limit = 40M

8. 限制PHP访问文件系统

该open_basedir指令指定的目录是允许PHP访问使用fopen()等功能。如果任何脚本试图访问超出open_basdir定义的路径文件，PHP将拒绝打开。值得注意的是，你不能使用一个符号链接作为一种变通方法。

																																							
																																								
																																								
																																									; Limits the PHP process from accessing files outside  
																																									

																																										; of specifically designated directories such as /var/www/html/  
																																										

																																											open_basedir="/var/www/html/" 
																																											

																																												; ------------------------------------  
																																												

																																													; Multiple dirs example  
																																													

																																														; open_basedir="/home/httpd/vhost/cyberciti.biz/html/:/home/httpd/vhost/nixcraft.com/html/:/home/httpd/vhost/theos.in/html/" 
																																														

																																															; ------------------------------------

9．限制文件/目录访问

进行适当的安全设置：确保Apache作为非root用户运行，比如www-data或www。对于文件和目录在基于/var/www/下同样属于非root用户。想要更改所有者，执行以下命令：

																																															
																																																
																																																
																																																	# chown -R apache:apache /var/www/

10.编译保护Apache，PHP和MySQL的配置文件

使用charrt命令编译保护配置文件

																																															
																																																
																																																
																																																	# chattr +i /etc/php.ini  
																																																	

																																																		 
																																																		

																																																			# chattr +i /etc/php.d/*  
																																																			

																																																				 
																																																				

																																																					# chattr +i /etc/my.ini  
																																																					

																																																						 
																																																						

																																																							# chattr +i /etc/httpd/conf/httpd.conf  
																																																							

																																																								 
																																																								

																																																									# chattr +i /etc/

使用charrt命令可以编译保护PHP文件或者是文件中的/var/www/html的目录：

																																																									
																																																										
																																																										
																																																											# chattr +i /var/www/html/file1.php  
																																																											

																																																												 
																																																												

																																																													# chattr +i /var/www/html/

推荐阅读

install
Ubuntu 环境下配置 LAMP 服务器

本文详细介绍了如何在 Ubuntu 系统上安装和配置 LAMP（Linux、Apache、MySQL 和 PHP）服务器。包括 Apache 的安装、PHP 的配置以及 MySQL 数据库的设置，确保读者能够顺利搭建完整的 Web 开发环境。 ... [详细]

蜡笔小新 2024-11-17 11:05:00
scala
Vulnhub DC3 实战记录与分析

本文记录了在 Vulnhub DC3 靶机上的渗透测试过程，包括漏洞利用、内核提权等关键步骤，并总结了实战经验和教训。 ... [详细]

蜡笔小新 2024-11-17 20:50:03
install
如何将PHP文件上传至服务器及正确配置服务器地址

如何将PHP文件上传至服务器及正确配置服务器地址 ... [详细]

蜡笔小新 2024-10-31 15:32:47
java
软件测试行业深度解析：迈向高薪的必经之路

本文深入探讨了软件测试行业的发展现状及未来趋势，旨在帮助有志于在该领域取得高薪的技术人员明确职业方向和发展路径。 ... [详细]

蜡笔小新 2024-11-21 17:32:44
email
利用 Calcurse 在 Linux 终端高效管理日程与任务

对于喜爱使用 Linux 终端进行日常操作的系统管理员来说，Calcurse 提供了一种强大的方式来管理日程安排、待办事项及会议。本文将详细介绍如何在 Linux 上安装和使用 Calcurse，帮助用户更有效地组织工作。 ... [详细]

蜡笔小新 2024-11-21 17:01:54
install
精选Linux经典著作在数字图书馆展出

数字图书馆近期展出了一批精选的Linux经典著作，这些书籍虽然部分较为陈旧，但依然具有重要的参考价值。如需转载相关内容，请务必注明来源：小文论坛（http://www.xiaowenbbs.com）。 ... [详细]

蜡笔小新 2024-11-08 10:55:29
install
如何在Ubuntu系统中直接使用Snap安装软件

Canonical与Opera Software近日宣布，基于Chromium的Opera浏览器现已作为Snap包提供给Ubuntu用户，显著提升了在Linux操作系统上的安装便捷性和兼容性。通过Snap，用户可以在Ubuntu系统中轻松安装和更新Opera浏览器，享受更流畅的浏览体验。此外，Snap的容器化特性还确保了应用的安全性和稳定性，为用户提供更加可靠的软件环境。 ... [详细]

蜡笔小新 2024-10-31 09:30:06
email
Linux学习精华：程序管理、终端种类与命令帮助获取方法综述

Linux学习精华：程序管理、终端种类与命令帮助获取方法综述 ... [详细]

蜡笔小新 2024-10-28 13:45:59
email
NanoPi2 使用体验深入解析（续篇）

随着Raspberry Pi的问世，开源硬件领域迎来了前所未有的发展，激发了全球范围内的创新热潮。在中国，这一趋势同样催生了一系列类似的开发板，例如NanoPi 2。本文作为前篇的延续，将深入探讨NanoPi 2的实际使用体验，从性能、兼容性到应用场景，进行全面分析。 ... [详细]

蜡笔小新 2024-10-25 23:19:30
js
从CodeIgniter中提取图像处理组件

本指南旨在帮助开发者在未使用CodeIgniter框架的情况下，如何独立使用其强大的图像处理功能，包括图像尺寸调整、创建缩略图、裁剪、旋转及添加水印等。 ... [详细]

蜡笔小新 2024-11-20 19:57:35
python
Bootstrap Paginator 分页插件详解与应用

本文深入探讨了Bootstrap Paginator这款流行的JavaScript分页插件，提供了详细的使用指南和示例代码，旨在帮助开发者更好地理解和利用该工具进行高效的数据展示。 ... [详细]

蜡笔小新 2024-11-20 13:39:53
python
Linux核心概念与发行版概览

本文介绍了Linux操作系统的核心组成部分——内核及其版本分类，以及市面上常见的几种Linux发行版，旨在为初学者提供一个清晰的学习路径。 ... [详细]

蜡笔小新 2024-11-20 10:09:16
java
HTML前端开发：UINavigationController与页面间数据传递详解

本文详细介绍了如何在HTML前端开发中利用UINavigationController进行页面管理和数据传递，适合初学者和有一定基础的开发者学习。 ... [详细]

蜡笔小新 2024-11-20 09:46:39
io
MySQL Administrator: 监控与管理工具

本文介绍了 MySQL Administrator 的主要功能，包括图形化监控 MySQL 服务器的实时状态、连接健康度、内存健康度以及如何创建自定义的健康图表。此外，还详细解释了状态变量和系统变量的管理。 ... [详细]

蜡笔小新 2024-11-18 08:20:16
java
Dense Matrix Inversion Results in Segmentation Fault: Causes and Solutions

Dense Matrix Inversion Results in Segmentation Fault: Causes and Solutions ... [详细]

蜡笔小新 2024-11-07 08:11:57

唯忻小十__

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章