通過配置php.ini來加固php的執行環境
register_globals
為on時,將從url中傳遞來的引數變為全域性變數(如果變數未初始化)
在php新版本中的預設設定為off
open_basedir
可以限制php只能操作指定目錄下的檔案。這在對抗檔案包含、目錄遍歷等攻擊時非常有用。
例如 open_basedir = /home/web/html/
allow_url_include
為了對抗遠端檔案包含,需關閉此選項,同時推薦關閉allow_url_fopen
allow_url_include = off
allow_url_fopen = off
display_errors
錯誤回顯,建議關閉
display_errors = off
log_errors
把錯誤資訊記錄在日誌裡
log_errors = on
magic_quotes_gpc
推薦關閉
magic_quotes_gpc = off
cgi.fix_pathinfo
若php以cgi的方式安裝,則需要關閉此項,以避免出現檔案解析問題
開啟httponly
若是全站https則需開啟此項,表明你的cookie只有通過https協議傳輸時才起作用。
session.cookie_secure = 1
safe_mode
php的安全模式,根據情況決定是否開啟
disable_functions
disable_functions能夠在php中禁用函式
安全測試,web安全
web分為好幾層,一圖勝千言 完全沒有基礎我該從哪下手?完全沒有基礎學習 web 安全是件比較難的事情,所以我給出的最小的方案和最少的建議。工具 先用 awvs 掃幾個測試 大體了解一下 把掃到的漏洞復現,了解怎麼利用,主要了解 xsssql 注入 遠端 執行 開發 書籍 細說 php 實踐 使用 ...
Web安全 密碼安全
就是為了證明 你就是你的問題 計算機為了識別人的時候,需要密碼。資料庫被偷 伺服器被入侵 通訊被竊聽 http協議被竊聽 內部人員洩密 通過撞庫的方式 嚴禁明文儲存 防洩漏 單向變換 變換複雜度分析 密碼複雜度的要求 明文 密文 是一一對應的。雪崩效應 只要明文一點點不一樣,密文是完全不一樣的。密文...
PHP環境安全加固方案
php應用部署後,開發者或者運維人員應該時刻關注php方面的漏洞訊息,公升級php版本,對php環境進行安全加固。本文將給大家介紹如何從web安全方面讓你的 更堅固更安全。1.啟用 php 的安全模式 php 環境提供的安全模式是乙個非常重要的內嵌安全機制,php 安全模式能有效控制一些 php 環...