安全配置PHP的2个实践事例.docVIP

安全配置PHP的25个实践事例PHP是广泛使用的开源服务端脚本语言。通过HTTP或HTTPS协议，Apache Web服务允许用户访问文件或内容。服务端脚本语言的错误配置会导致各种问题。因此，PHP应该小心使用。以下是为系统管理员准备的，安全配置PHP的25个实践事例。 用于下文的PHP设置样例 DocumentRoot：/var/www/html 默认Web服务：Apache（可以使用Lighttpd或Nginx代替） 默认PHP配置文件：/etc/php.ini 默认PHP Extensions配置目录：/etc/php.d/ PHP安全配置样例文件：/etc/php.d/security.ini（需要使用文本编辑器创建这个文件） 操作系统：RHEL / CentOS / Fedora Linux（指令应该可以在所有其他Linux发行版，如Debian / Ubuntu，或是Unix-like的操作系统，如OpenBSD / FreeBSD / HP-UX下正常运行） PHP服务的默认TCP/UDP端口：none 下午列出的大部分操作，都是基于 root 用户能在 bash 或其他现代 shell 上执行操作的假设。 $ php -v 样例输出 PHP 5.3.3 (cli) (built: Oct 24 2011 08:35:41) Copyright (c) 1997-2010 The PHP Group Zend Engine v2.3.0, Copyright (c) 1998-2010 Zend Technologies 本文使用的操作系统 $ cat /etc/redhat-release 样例输出 Red Hat Enterprise Linux Server release 6.1 (Santiago) #1：知彼 基于PHP的应用面临着各种各样的攻击： XSS：对PHP的Web应用而言，跨站脚本是一个易受攻击的点。攻击者可以利用它盗取用户信息。你可以配置Apache，或是写更安全的PHP代码（验证所有用户输入）来防范XSS攻击 SQL注入：这是PHP应用中，数据库层的易受攻击点。防范方式同上。常用的方法是，使用mysql_real_escape_string()对参数进行转义，而后进行SQL查询。 文件上传：它可以让访问者在服务器上放置（即上传）文件。这会造成例如，删除服务器文件、数据库，获取用户信息等一系列问题。你可以使用PHP来禁止文件上传，或编写更安全的代码（如检验用户输入，只允许上传png、gif这些图片格式） 包含本地与远程文件：攻击者可以使远程服务器打开文件，运行任何PHP代码，然后上传或删除文件，安装后门。可以通过取消远程文件执行的设置来防范 eval()：这个函数可以使一段字符串如同PHP代码一样执行。它通常被攻击者用于在服务器上隐藏代码和工具。通过配置PHP，取消eval()函数调用来实现 Sea-surt Attack（Cross-site request forgery，CSRF。跨站请求伪造）：这种攻击会使终端用户在当前账号下执行非指定行为。这会危害终端用户的数据与操作安全。如果目标终端用户的账 号用于管理员权限，整个Web应用都会收到威胁。 #2：减少内建的PHP模块 执行下面指令可以查看当前PHP所编译的模块 $ php -m 样例输出： [PHP Modules] apc bcmath bz2 calendar Core ctype curl date dom ereg exif fileinfo filter ftp gd gettext gmp hash iconv imap json libxml mbstring memcache mysql mysqli openssl pcntl pcre PDO pdo_mysql pdo_sqlite Phar readline Reflection session shmop SimpleXML sockets SPL sqlite3 standard suhosin tokenizer wddx xml xmlreader xmlrpc xmlwriter xsl zip zlib [Zend Modules] Suhosin 从性能与安全性的角度考虑，我建议使用PHP时减少不必要的模块。例如上面的sqlite3是不必要的。那么可以通过删除或重命名/etc/php.d/sqlite3.ini文件来取消它： # rm /etc/php.d/sqlite3.ini 或 # mv /etc/php.d/sqlite3.ini /etc/php.d/sqlite3.disable 有些模块则只能通过使用重新编译安装PHP来移除