当前位置: 开发笔记 > 编程语言 > 正文

系统管理员应知：十大PHP最佳安全实践

作者：唯忻小十__ | 来源：互联网 | 2013-12-19 11:21

PHP被广泛用于各种Web开发。然而，当服务器端脚本配置错误时会出现各种问题。现今，大部分Web服务器是基于Linux环境下运行（比如：Ubuntu，Debian等）。本文例举了十大PHP最佳安全实践方式，能够让您轻松、安全配置PHP

PHP被广泛用于各种Web开发。而当服务器端脚本配置错误时会出现各种问题。现今，大部分Web服务器是基于Linux环境下运行（比如：Ubuntu，Debian等）。本文例举了十大PHP最佳安全实践方式，能够让您轻松、安全配置PHP。

PHP安全性设置提示：

DocumentRoot: /var/www/

Default Web server: Apache

Default PHP configuration file: /etc/php.ini

Default PHP extensions config directory: /etc/php.d/

Our sample php security config file: /etc/php.d/security.ini (you need to create this file using a text editor)

Operating systems: Ubuntu (the instructions should work with any other Linux distributions such as RHEL / CentOS / Fedora or other Unix like operating systems such as OpenBSD/FreeBSD/HP-UX).

1. 减少PHP内置模块

为了增强性能和安全性，强烈建议，减少PHP中的模块。来看看下面这个被执行命令安装的模块。


	
	
		# php –m

你将会得到类似的结果：

[PHP Modules]
apc
bcmath
bz2
calendar
Core
ctype
curl
date
dom
ereg
exif
fileinfo
filter
ftp
gd
gettext
gmp
hash
iconv
imap
json
libxml
mbstring
memcache
mysql
mysqli
openssl
pcntl
pcre
PDO
pdo_mysql
pdo_sqlite
Phar
readline
Reflection
session
shmop
SimpleXML
sockets
SPL
sqlite3
standard
suhosin
tokenizer
wddx
xml
xmlreader
xmlrpc
xmlwriter
xsl
zip
zlib
[Zend Modules]
Suhosin

删除一个模块，并执行此命令。例如：删除模块sqlite3


	
	
		# rm /etc/php.d/sqlite3.ini

或者

			
				
				
					# mv /etc/php.d/sqlite3.ini /etc/php.d/sqlite3.disableRestrict

2. 使PHP信息泄露最小化

在默认PHP时在HTTP抬头处会生成一条线介于每个响应中，（比如X-Powered-By: PHP/5.2.10）。而这个在系统信息中为攻击者创建了一个非常有价值的信息。

HTTP示例：

			
				
				
					HTTP/1.1 200 OK  
					

						X-Powered-By: PHP/5.2.10  
						

							Content-type: text/html; charset=UTF-8  
							

								Vary: Accept-Encoding, COOKIE  
								

									X-Vary-Options: Accept-Encoding;list-cOntains=gzip,COOKIE;string-cOntains=wikiToken;  
									

										string-cOntains=wikiLoggedOut;string-cOntains=wiki_session 
										

											Last-Modified: Thu, 03 Nov 2011 22:32:55 GMT  
											

												...

因此，我们强烈建议，禁止PHP信息泄露，想要要禁止它，我们要编辑/etc/php.d/secutity.ini，并设置以下指令：

												
													
													
														expose_php=Off

3. 使PHP加载模块最小化

在默认情况下，RHEL加载的所有模块可以在/etc/php.d/目录中找到。要禁用或启用一个特定的模块，只需要在配置文件/etc/php.d/目录中中注释下模块名称。而为了优化PHP性能和安全性，当你的应用程序需要时，我们强烈建议建议启用扩展功能。举个例子：当禁用GD扩展时，键入以下命令：

															
																
																
																	# cd /etc/php.d/  
																	

																		 
																		

																			# mv gd.{ini,disable}  
																			

																				 
																				

																					# /etc/init.d/apache2 restart

为了扩展PGP GD模块，然后键入以下命令：

																					
																						
																						
																							# mv gd.{disable,ini}  
																							

																								 
																								

																									# /sbin/service httpd restart

4. 记录PHP错误信息

为了提高系统和Web应用程序的安全，PHP错误信息不能被暴露出。要做到这一点，需要编辑/etc/php.d/security.ini 文件，并设置以下指令：

																									
																										
																										
																											display_errors=Off

为了便于开发者Bug修复，所有PHP的错误信息都应该记录在日志中。

																									
																										
																										
																											log_errors=On 
																											

																												 
																												

																													error_log=/var/log/httpd/php_scripts_error.log

5. 禁用远程执行代码

如果远程执行代码，允许PHP代码从远程检索数据功能，如FTP或Web通过PHP来执行构建功能。比如：file_get_contents()。

很多程序员使用这些功能，从远程通过FTP或是HTTP协议而获得数据。然而，此法在基于PHP应用程序中会造成一个很大的漏洞。由于大部分程序员在传递用户提供的数据时没有做到适当的过滤功能，打开安全漏洞并且创建了代码时注入了漏洞。要解决此问题，需要禁用_url_fopen in /etc/php.d/security.ini，并设置以下命令：

																														
																															
																															
																																allow_url_fopen=Off

除了这个，我还建议禁用_url_include以提高系统的安全性。

																														
																															
																															
																																allow_url_include=Off

6. 禁用PHP中的危险函数

PHP中有很多危险的内置功能，如果使用不当，它可能使你的系统崩溃。你可以创建一个PHP内置功能列表通过编辑/etc/php.d/security.ini来禁用它。

																														
																															
																															
																																disable_functions =exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

7. 资源控制

为了提高系统的稳定性，强烈建议设置每个脚本解析请求数据所花费的时间和脚本可能消耗的最大内存量。正确的配置这些参数可以防止PHP任何脚本消耗太多的资源或是内存，从而避免系统不安全或降低安全系数。

																														
																															
																															
																																# set in seconds  
																																

																																	 
																																	

																																		max_execution_time = 30 
																																		

																																			 
																																			

																																				max_input_time = 30 
																																				

																																					 
																																					

																																						memory_limit = 40M

8. 限制PHP访问文件系统

该open_basedir指令指定的目录是允许PHP访问使用fopen()等功能。如果任何脚本试图访问超出open_basdir定义的路径文件，PHP将拒绝打开。值得注意的是，你不能使用一个符号链接作为一种变通方法。

																																							
																																								
																																								
																																									; Limits the PHP process from accessing files outside  
																																									

																																										; of specifically designated directories such as /var/www/html/  
																																										

																																											open_basedir="/var/www/html/" 
																																											

																																												; ------------------------------------  
																																												

																																													; Multiple dirs example  
																																													

																																														; open_basedir="/home/httpd/vhost/cyberciti.biz/html/:/home/httpd/vhost/nixcraft.com/html/:/home/httpd/vhost/theos.in/html/" 
																																														

																																															; ------------------------------------

9．限制文件/目录访问

进行适当的安全设置：确保Apache作为非root用户运行，比如www-data或www。对于文件和目录在基于/var/www/下同样属于非root用户。想要更改所有者，执行以下命令：

																																															
																																																
																																																
																																																	# chown -R apache:apache /var/www/

10.编译保护Apache，PHP和MySQL的配置文件

使用charrt命令编译保护配置文件

																																															
																																																
																																																
																																																	# chattr +i /etc/php.ini  
																																																	

																																																		 
																																																		

																																																			# chattr +i /etc/php.d/*  
																																																			

																																																				 
																																																				

																																																					# chattr +i /etc/my.ini  
																																																					

																																																						 
																																																						

																																																							# chattr +i /etc/httpd/conf/httpd.conf  
																																																							

																																																								 
																																																								

																																																									# chattr +i /etc/

使用charrt命令可以编译保护PHP文件或者是文件中的/var/www/html的目录：

																																																									
																																																										
																																																										
																																																											# chattr +i /var/www/html/file1.php  
																																																											

																																																												 
																																																												

																																																													# chattr +i /var/www/html/

推荐阅读

shell
新浪笔试题

1:有如下一段程序：packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细]

蜡笔小新 2024-12-27 19:32:17
timezone
PHP 5.2.5 安装与配置指南

本文详细介绍了 PHP 5.2.5 的安装和配置步骤，帮助开发者解决常见的环境配置问题，特别是上传图片时遇到的错误。通过本教程，您可以顺利搭建并优化 PHP 运行环境。 ... [详细]

蜡笔小新 2024-12-27 19:05:41
shell
Linux 自动化安装脚本详解

本文介绍了一款用于自动化部署 Linux 服务的 Bash 脚本。该脚本不仅涵盖了基本的文件复制和目录创建，还处理了系统服务的配置和启动，确保在多种 Linux 发行版上都能顺利运行。 ... [详细]

蜡笔小新 2024-12-27 16:33:32
shell
使用Vultr云服务器和Namesilo域名搭建个人网站

本文详细介绍了如何通过Vultr云服务器和Namesilo域名搭建一个功能齐全的个人网站，包括购买、配置服务器以及绑定域名的具体步骤。文章还提供了详细的命令行操作指南，帮助读者顺利完成建站过程。 ... [详细]

蜡笔小新 2024-12-26 16:36:34
shell
使用Xshell通过SSH协议远程连接Ubuntu系统

本文介绍如何通过SSH协议使用Xshell远程连接到Ubuntu系统。为了实现这一目标，需要确保Ubuntu系统已安装并配置好SSH服务器，并保证网络连通性。 ... [详细]

蜡笔小新 2024-12-25 16:29:11
text
自己用过的一些比较有用的css3新属性【HTML】

web前端|html教程自己用过的一些比较用的css3新属性web前端-html教程css3刚推出不久，虽然大多数的css3属性在很多流行的浏览器中不支持，但我个人觉得还是要尽量开 ... [详细]

蜡笔小新 2024-12-24 19:26:54
int
云计算的优势与应用场景

本文详细探讨了云计算为企业和个人带来的多种优势，包括成本节约、安全性提升、灵活性增强等。同时介绍了云计算的五大核心特点，并结合实际案例进行分析。 ... [详细]

蜡笔小新 2024-12-23 13:54:13
int
Python配置文件读写指南

本文详细介绍如何使用Python进行配置文件的读写操作，涵盖常见的配置文件格式（如INI、JSON、TOML和YAML），并提供具体的代码示例。 ... [详细]

蜡笔小新 2024-12-28 08:39:55
int
信息安全小组第一周工作总结

本周信息安全小组主要进行了CTF竞赛相关技能的学习，包括HTML和CSS的基础知识、逆向工程的初步探索以及整数溢出漏洞的学习。此外，还掌握了Linux命令行操作及互联网工作原理的基本概念。 ... [详细]

蜡笔小新 2024-12-28 05:52:22
int
深入理解 SQL 视图、存储过程与事务

本文详细介绍了SQL中的视图、存储过程和事务的概念及应用。视图为用户提供了一种灵活的数据查询方式，存储过程则封装了复杂的SQL逻辑，而事务确保了数据库操作的完整性和一致性。 ... [详细]

蜡笔小新 2024-12-27 17:40:42
install
在 Linux 系统中部署 PostgreSQL 数据库

本文详细介绍了如何在 Linux 平台上安装和配置 PostgreSQL 数据库。通过访问官方资源并遵循特定的操作步骤，用户可以在不同发行版（如 Ubuntu 和 Red Hat）上顺利完成 PostgreSQL 的安装。 ... [详细]

蜡笔小新 2024-12-27 03:46:27
int
提前体验Ubuntu 8.10：更改源的方法与步骤

本文介绍如何通过更改软件源来提前体验Ubuntu 8.10，包括详细的配置步骤和相关注意事项。 ... [详细]

蜡笔小新 2024-12-26 11:14:17
int
PHP 时间与日期工具类：星座、干支、生肖的实现

本文介绍了一个PHP时间与日期工具类，涵盖了时区设置、有效日期和时间检查、星座、干支、生肖计算等功能。该工具类特别适用于需要处理中国农历及西方星座的应用场景。 ... [详细]

蜡笔小新 2024-12-24 18:37:15
int
选择适合生产环境的Docker存储驱动

本文旨在探讨如何在生产环境中选择合适的Docker存储驱动，并详细介绍不同Linux发行版下的配置方法。通过参考官方文档和兼容性矩阵，提供实用的操作指南。 ... [详细]

蜡笔小新 2024-12-24 11:16:45
window
在Ubuntu系统中安装Windows 7的详细步骤

本文详细介绍了如何在预装Ubuntu系统的笔记本电脑上安装Windows 7。针对没有光驱的情况，提供了通过USB安装的具体方法，并解决了分区、驱动器无法识别等问题。 ... [详细]

蜡笔小新 2024-12-22 18:26:55

唯忻小十__

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章