php安全性怎么样,PHP网站安全性浅谈
PHP网站安全性浅谈
一、web应用服务安全性设置
1、服务器各应用服务尽可能以独立用户运行,如:
WEB服务运行帐户为www
MySQL服务运行帐户为mysql
Memcached用户为memcache
Redis运行帐户为redis
2、应用服务目录的读写权限最小颗粒化
(a)缓存目录:
一般需要755/777权限,但是多数情况下缓存目录无须提供给用户访问,可以通过nginx拒绝。如:location ~ "^/cache" {
return 403;
}
(b)附件目录:
一般也需要755/777等写入权限,建议附件和程序分离,附件不做PHP配置解析(这点能做到最好)。
如果上面做不到,那么建议你尽可能不去解析附件目录的PHP。如:location ~* ^/upload/.*.(php|php5)($|/){
deny all;
}
location ~* .*\.php($|/){
if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 403;
}
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}
PS:
(1)同时注意限制允许的上传格式。
(2)虽然说通过修改php.ini设置cgi.fix_pathinfo = 0;然后重启php-cgi也可以做到拒绝诸如/upload/2018.jpg/test.php类似的url地址访问,但是此修改会影响到使用PATH_INFO伪静态应用。
3、php安全性
(a).配置禁用部分函数disable_functions = passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen
(b).禁用部分php.ini配置项register_globals = Off
cgi.fix_pathinfo=0
magic_quotes_gpc = On
allow_url_include = Off
expose_php = Off
4、隐藏相关版本信息
一般而言,通过隐藏的手段提高安全性被认为是作用不大的做法。但某些情况下,尽可能的多增加一份安全性都是值得的。一些简单的方法可以帮助隐藏 PHP,这样做可以提高攻击者发现系统弱点的难度。
5、服务器尽可能减少开放端口
6、服务器防火墙iptables等配置
二、PHP安全性提升
1、程序漏洞问题
很多 PHP 程序所存在的重大弱点并不是 PHP 语言本身的问题,而是编程者的安全意识不高而导致的。因此,必须时时注意每一段代码可能存在的问题,去发现非正确数据提交时可能造成的影响。
2、用户输入信息的过滤
前端过滤&服务端过滤,永远不要信任外界输入的数据。如:尽可能过滤掉javascript(防止跨站攻击等)~
3、尽量不要显示错误[error_reporting(0);],或者使用合适的错误报告
4、如无特殊必要建议在php.ini中停用以下配置:register_globals = Off //全局变量
magic_quotes_gpc = Off
magic_quotes_runtime = Off
magic_quotes_sybase = Off
5、如果使用了一些开源的源码,建议多关注官方动态或乌云
三、MySQL安全性提升
1、永远不要使用超级用户连接数据库
2、拼接的sql多做过滤,永远不要相信外界输入的数据,特别是客户端(SQL注入)
3、建议使用PDO方式连接
4、如无必要尽可能关闭mysql的远程访问权限
欢迎补充。
最后更新于 2016-05-31 17:52:50 并被添加「php php安全 网站安全」标签,已有 1751 位童鞋阅读过。
本站使用「署名 4.0 国际」创作共享协议,可自由转载、引用,但需署名作者且注明文章出处
相关文章
php安全性怎么样,PHP网站安全性浅谈相关推荐
- postman 不安全网站_浅谈接口测试—初步认识postman
顾翔老师的<软件测试技术实战设计.工具及管理>网上购买地址: https://item.jd.com/34295655089.html <基于Django的电子商务网站>网上购 ...
- php ci如何保证数据安全,浅谈php(codeigniter)安全性注意事项
1.httponly session一定要用httponly的否则可能被xxs攻击,利用js获取cookie的session_id. 要用框架的ci_session,更长的位数,httponly,这些 ...
- 校园兼职网站php设计,基于PHP+MySql的校园兼职信息平台的开发浅谈
Data Base Technique 0数据库技术基于PHP+MySqI的校园兼职信息平台的开发浅谈文刘晓智1杨雨锋2李万星2 表1:数据库一蹬表 摘要 首光简要介绍了编程语孬和MySql数据库的主 ...
- 从团购网的漏洞看网站安全性问题 -- 安全 -- IT技术博客大学习 -- 共学习 共进步!...
从团购网的漏洞看网站安全性问题 -- 安全 -- IT技术博客大学习 -- 共学习 共进步!: "" (Via.) 转载于:https://www.cnblogs.com/devo ...
- 浅谈千万级PV/IP规模高性能高并发网站架构
原创作者:老男孩linux实战运维培训机构 老男孩 QQ:31333741 说明:几个月前老男孩发过一次类似的文章,本次为了参加一个朋友邀请的活动,稍微完善了一下,欢迎各位同仁一起交流网站架构技 ...
- 浅谈大型网站之负载均衡架构
转载自 浅谈大型网站之负载均衡架构 概念 负载均衡,英文名称为Load Balance,其意思就是分摊到多个操作单元上进行执行,例如Web服务器.FTP服务器.企业关键应用服务器和其它关键任务服务器等 ...
- 浅谈App对我们行业门户网站的作用
上次开会,老板问我们APP的程序员,做APP有什么作用呢? 我也在想对我们这样的仪器行业门户网站,究竟有什么作用呢? 现在浅谈我的一些看法,说得不对的地方,请各位博友拍砖 一.先入为主 像我们这样的行 ...
- 浅谈网站的logo设计
浅谈网站的logo设计 当今是信息高速发达的时代,互联网实现了世界范围的网络间的互联和信息共享,并已全面介入人类生活的方方面面,带动着人类社会的飞速发展,发挥着重要的作用. 随着PC和网络的普及,上网 ...
- 浅谈千万级高性能高并发网站架构
浅谈千万级PV/IP规模高性能高并发网站架构 高并发访问的核心原则其实就一句话"把所有的用户访问请求都尽量往前推". 如果把来访用户比作来犯的"敌人",我们一定 ...
- 改善网站安全性的5种方法
Here you will know about some important website security tips. 在这里,您将了解一些重要的网站安全提示. Owning a website ...
最新文章
- 《新程序员003》正式上市!华为、阿里等 30+ 公司的云原生及数字化实战经验...
- u-boot2011.09 u-boot.img 的流程跟踪
- 大轴纸怎么上机器人_岛国首发和尚机器人,地位直逼观世音
- sdut 1500 Message Flood
- NumPy - np.linspace()
- html dd自动换行,为什么我的dd里面的内容没有自动换行呢
- AcWing--2.01背包问题
- python选课系统代码_python模拟选课系统
- raspberry pi_Raspberry Pi,CNC铣削,WTF,Cypht,HomeBank,Wekan等的使用方法
- kubernetes的常用命令
- golang——channel笔记
- iOS使用lua语言的使用步骤与实现插件的动态更新
- Windows 11 新功能:管理蓝牙设备将不再困难
- 计算机系统中与存储有关的那些事
- UDP读取发送工具类
- Bus Hound 使用指南
- 使用WebService获取第三方服务数据
- 用分支限界法解决人员安排问题(Personnel assignment problem)
- 企业劳务派遣的人员怎么界定身份
- Websocket和PHP Socket编程