十个PHP安全的必备技巧

十个PHP安全的必备技巧

你好,PHP 开发人员。 在这篇文章中,我将尝试为你提供一些可以提高 PHP 应用程序安全性的具体步骤。我关注的是 PHP 配置本身,所以我们不会讨论 SQL 注入、HTTPS 或其他与 PHP 无关的问题。

我将使用我的docker-entrypoint.sh脚本中的 bash 行来说明示例,但当然你可以将其应用于非 docker 环境。

Sessions

使用较长的 Session ID 长度

增加会话 id 长度会使攻击者更难猜到(通过暴力或更有可能的侧通道攻击)。长度可以介于22 到 256 个字符之间。默认值为 32。

sed -i -e "s/session.sid_length = 26/session.sid_length = 42/" /etc/php7/php.ini

(别问我为什么在 Alpine Linux 上是26…)

你可能还想查看 session.sid_bits_per_character。

使用具有限制权限的自定义会话保存路径

只有 nginx/php 需要访问会话,所以让我们将它们放在一个具有受限权限的特殊文件夹中。

sed -i -e "s:;session.save_path = \\"/tmp\\":session.save_path = \\"/sessions\\":" /etc/php7/php.ini
mkdir -p /sessions
chown nginx:nginx /sessions
chmod 700 /sessions

当然,如果你使用 Redis 处理会话,你并不需要关心这一部分;)

安全会话 Cookie

session.cookie_httponly来阻止 javascript 访问它们。更多信息。

sed -i -e "s/session.cookie_httponly.*/session.cookie_httponly = true/" /etc/php7/php.ini
sed -i -e "s/;session.cookie_secure.*/session.cookie_secure = true/" /etc/php7/php.ini

session.cookie_secure 防止你的 cookie 在明文 HTTP 上传输。

session.cookie_samesite 以防止跨站点攻击。仅适用于最新的 PHP/浏览器。

使用严格模式

由于 Cookie 规范,攻击者能够通过本地设置 Cookie 数据库或 JavaScript 注入来放置不可移除的会话 ID Cookie。session.use_strict_mode 可以防止使用攻击者初始化的会话 ID。

限制生存期

会话应与浏览器一起关闭。因此设置 session.cookie_lifetime 为0。

Open_basedir

open_basedir 是一个php.ini配置选项,允许你限制 PHP 可以访问的文件/目录。

sed -i -e "s#;open_basedir =#open_basedir = /elabftw/:/tmp/:/usr/bin/unzip#" /etc/php7/php.ini

这里我添加了 unzip,因为它是由 Composer 使用的。 /elabftw是所有源 php 文件所在的位置。我不记得为什么/tmp会在这里,但肯定有原因。

禁用功能

这一点要小心,因为你很容易搞砸一个应用程序。但这绝对值得调查。假设攻击者以某种方式上传了一个 webshell,如果正确禁用了,webshell 将不会真正工作,因为shell_exec将被禁用,同类也将被禁用。我提供了一个适用于elabftw 的列表,但并不是百分之百完成。

sed -i -e "s/disable_functions =/disable_functions = php_uname, getmyuid, getmypid, passthru, leak, listen, diskfreespace, tmpfile, link, ignore_user_abort, shell_exec, dl, system, highlight_file, source, show_source, fpaththru, virtual, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_times, posix_ttyname, posix_uname, phpinfo/" /etc/php7/php.ini

禁用 url_fopen

allow_url_fopen 这个选项很危险的。禁用它。更多信息在此处。

sed -i -e "s/allow_url_fopen = On/allow_url_fopen = Off/" /etc/php7/php.ini

禁用 cgi.fix_pathinfo

你不想让非 PHP 文件作为 PHP 文件执行,对吗?那就禁用此功能。更多信息。

sed -i -e "s/;cgi.fix_pathinfo=1/cgi.fix_pathinfo=0/g" /etc/php7/php.ini

隐藏 PHP 版本

最后,不假思索地说:

sed -i -e "s/expose_php = On/expose_php = Off/g" /etc/php7/php.ini

现在就这样。我希望你会发现这篇文章很有用,并改进你的配置;)

如果我错过了什么重要的东西,请在评论中告诉我!

原文地址:https://dev.to/elabftw/10-steps-for-securing-a-php-app-5fnp

译文地址:https://learnku.com/php/t/50851

关于十个PHP安全的必备技巧的文章就分享到这,如果对你有帮助欢迎继续关注我们哦

本文来自投稿,不代表重蔚自留地立场,如若转载,请注明出处https://www.cwhello.com/41673.html

如有侵犯您的合法权益请发邮件951076433@qq.com联系删除

(0)
php学习php学习订阅用户
上一篇 2022年6月21日 22:42
下一篇 2022年6月21日 22:42

相关推荐

  • PHP中如何进行AR和VR应用开发?

    在过去的几年中,增强现实(AR)和虚拟现实(VR)技术已经得到了广泛应用,为用户提供了更加真实的体验。这种技术被广泛运用于游戏、娱乐、教育和医疗等领域。PHP是一门流行的Web开发语言,被广泛用于应用程序的开…

    2023年5月17日
    08
  • PHP入门指南:命令模式。

    PHP入门指南:命令模式命令模式是一种行为设计模式,它允许您将操作封装为对象。 在这种模式中,命令实现者将一系列参数传递给命令接收者并触发执行。 在本文中,我们将介绍PHP命令模式的基础知识和实例。命令模式…

    2023年5月22日
    00
  • 聊聊PHP中的抽象工厂模式

    本篇文章带大家了解一下PHP设计模式中的抽象工厂模式。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。工厂模式系列中的重头戏来了,没错,那正是传闻中的抽象工厂模式。初次听到这个名字的时候…

    2023年3月29日
    00
  • 如何在PHP中实现大数据分析。

    随着互联网和信息技术的发展,数据已经成为了企业和组织重要的生产资源。而如何进行有效的数据分析已经成为企业决策的重要课题。PHP语言作为一种广泛使用的Web编程语言,也可以用来实现大数据分析。本文将介绍如何…

    2023年5月22日
    014
  • PHP8.0中的调试库:Xdebug

    在PHP开发中,调试是不可避免的部分。为了帮助开发者更易于调试自己的代码,PHP8.0在其调试库中引入了一个非常有用的工具:Xdebug。本文将介绍Xdebug的一些主要功能,以及如何使用它来简化PHP调试的过程。Xdebug是…

    2023年5月18日
    04
  • PHP8中的新函数:array_key_first()的新技巧。

    随着Web应用程序的不断发展,PHP作为一种可靠且易于使用的编程语言在开发Web应用程序方面变得越来越流行。在PHP8中,开发人员将受到一个新的函数array_key_first()的欢迎,这个函数可以帮助他们更轻松地访问数组的…

    2023年5月21日
    00
  • php4中的文件操作

    resource fopen ( string filename, string mode ) 打开某个文件,返回指向这个文件的资源 string filename:要被打开的文件 string mode:打开模式   Mode      说明 "r"    只读方式打开,将文件指针指向文…

    2017年11月14日
    0198
  • PHP实现数据库主从复制故障恢复的方法。

    随着互联网的迅速发展,大量的数据需要存储和处理,因此数据库成为现代应用开发中不可或缺的一部分。而在现实应用中,由于网络环境、硬件故障等多种因素的影响,数据库主从复制的故障恢复常常是一项必不可少的任务…

    2023年5月21日
    03

联系我们

QQ:951076433

在线咨询:点击这里给我发消息邮件:951076433@qq.com工作时间:周一至周五,9:30-18:30,节假日休息