一、屏蔽PHP错误信息
在配置文件中,设置display_errors=On,开启了PHP错误显示,在PHP程序遇到错误时,会暴露PHP文件和系统路径,从而容易被威胁,我们需要设置:
;默认开启
;Default Value: On;研发环境开启
;Development Value: On;生产环境开启
;Production Value: Off;生产环境下,设定为Off
display_errors = Off;指定日志写入路径
error_log=/var/log/php/error_log.log
二、防止版本号暴露
在HTTP请求返回的Response头部数据,HTTP头李返回服务器状态的信息,包含了PHP版本信息,黑客很容易根据版本漏洞,进而进行攻击
在配置文件中找到 expose_php,将值设置为 Off
expose_php=Off
三、防止全局变量覆盖
在全局变量功能开启的情况下,传递过来的数据会被直接注册为全局变量使用,需要关闭全局变量覆盖,在PHP5.6之后的版本,官方已经将该配置去除:
register_blobals=Off
四、PHP的访问限制
1.文件系统限制
配置 open_basedir 来限制PHP访问文件系统的位置:
;限定PHP的访问目录为 /home/web/php/
open_basedir=/home/web/php/
2.远程访问限制
allow_url_fopen 开启时,允许系统从远程检索数据,然而这个方法会给程序造成一个很大的漏洞,如果远程连接是一个恶意链接,那后果不堪设想
;禁用PHP远程URL访问
allow_url_fopen=Off;禁用远程 include 包含文件
allow_url_include=Off
3.开启完全模式
PHP的安全模式是为视图解决共享服务器(shared-server)的安全问题而设立的,开启之后,会对系统操作、文件、权限设置等方法产生影响,减少被黑客植入webshell所带来的安全问题,从而在一定程度上避免一些未知的攻击
;开启安全模式
safe_mode=On
safe_mode_gid=Off
设置后,所有命令执行函数都被限制只能执行safe_mode_exec_dir指定目录里的程序,例如shell_exec()、exec()等方法会被禁止,如果需要调用,需进行如下配置:
safe_mode_exec_dir=/usr/local/php/exec
4.禁用危险函数
PHP中有很多危险的内置函数,如果使用不当,可能造成系统崩溃,配置文件中,disable_functions 选项能够在PHP中禁用指定的函数
disable_functions=phpinfo,eval,passthru,exec,system,chroot,scandir……
五、PHP中的Cookie安全
1.Cookie 的 HttpOnly
HttpOnly 可以让 Cookie 在浏览器中不可见,开启 HttpOnly 可以防止脚本通过 document 对象获取 Cookie
;开启 HttpOnly
session.cookie_httponly=1
2.Cookie 的 Secure
如果web传输协议使用的是HTTPS,则应开启 cookie_secure ,当Secure属性设置为true时,Cookie只有在HTTPS下才能上传到服务器,防止Cookie被窃取
session.cookie_secure=1
六、尽量减少非必要模块加载
加载尽量少的模块在优化PHP性能的同时,也增加了安全性,使用 php -m 命令可以查看当前 PHP 所加载的模块
行云博客 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我([email protected])联系处理。敬请谅解!
