安全配置PHP的25个实践事例.pdf

安全配置PHP的25个实践事例 PHP 是广泛使用的开源服务端脚本语言。通过HTTP 或HTTPS 协议，Apache Web 服务允 许用户访问文件或内容。服务端脚本语言的错误配置会导致各种问题。因此，PHP 应该小心 使用。以下是为系统管理员准备的，安全配置PHP 的25 个实践事例。 用于下文的PHP 设置样例 DocumentRoot：/var/www/html 默认Web 服务：Apache （可以使用Lighttpd 或Nginx 代替） 默认PHP 配置文件：/etc/php.ini 默认PHP Extensions 配置目录：/etc/php.d/ PHP 安全配置样例文件：/etc/php.d/security.ini （需要使用文本编辑器创建这个文件） 操作系统：RHEL / CentOS / Fedora Linux （指令应该可以在所有其他Linux 发行版，如 Debian / Ubuntu，或是Unix-like 的操作系统，如OpenBSD / FreeBSD / HP-UX 下正常运行） PHP 服务的默认TCP/UDP 端口：none 下午列出的大部分操作，都是基于 root 用户能在 bash 或其他现代 shell 上执行操作 的假设。 $ php -v 样例输出 PHP 5.3.3 (cli) (built: Oct 24 2011 08:35:41) Copyright (c) 1997-2010 The PHP Group Zend Engine v2.3.0, Copyright (c) 1998-2010 Zend Technologies 本文使用的操作系统 $ cat /etc/redhat-release 样例输出 Red Hat Enterprise Linux Server release 6.1 (Santiago) #1 ：知彼 基于PHP 的应用面临着各种各样的攻击： XSS ：对PHP 的Web 应用而言，跨站脚本是一个易受攻击的点。攻击者可以利用它盗取 用户信息。你可以配置Apache，或是写更安全的PHP 代码 （验证所有用户输入）来防范XSS 攻击 SQL 注入：这是PHP 应用中，数据库层的易受攻击点。防范方式同上。常用的方法是， 使用mysql_real_escape_string()对参数进行转义，而后进行SQL 查询。 文件上传：它可以让访问者在服务器上放置（即上传）文件。这会造成例如，删除服务 器文件、数据库，获取用户信息等一系列问题。你可以使用 PHP 来禁止文件上传，或编写 更安全的代码（如检验用户输入，只允许上传png、gif 这些图片格式） 包含本地与远程文件：攻击者可以使远程服务器打开文件，运行任何 PHP 代码，然后 上传或删除文件，安装后门。可以通过取消远程文件执行的设置来防范 eval()：这个函数可以使一段字符串如同PHP 代码一样执行。它通常被攻击者用于在服 务器上隐藏代码和工具。通过配置PHP，取消eval()函数调用来实现 Sea-surt Attack （Cross-site request forgery，CSRF。跨站请求伪造）：这种攻击会使终端用 户在当前账号下执行非指定行为。这会危害终端用户的数据与操作安全。如果目标终端用户 的账 号用于管理员权限，整个Web 应用都会收到威胁。 #2 ：减少内建的PHP 模块 执行下面指令可以查看当前PHP 所编译的模块 $ php -m 样例输出： [PHP Modules] apc bcmath bz2 calendar Core ctype curl date dom ereg exif fileinfo filter ftp gd gettext gmp hash iconv imap json libxml mbstring memcache mysql mysqli openssl pcntl pcre PDO pdo_mysql pdo_sqlite Phar readline Reflection session shmop SimpleXML sockets SPL sqlite3 standard suhosin tokenizer wddx xm