PHP-код можна інтегрувати у ваші веб-сторінки разом із HTML-кодом. Коли ваш веб-сервер отримує запит на сторінку, ця сторінка в першу чергу пропонується обробнику PHP. PHP-обробник видасть HTML-код без коригування і виконує будь-яку команду PHP. Він також виводить будь-який HTML-код, створений командою PHP.


Це створює веб-сторінку із вмістом, який змінюється на сервері до моменту їх передачі запитувачу.

Ці здібності PHP також роблять його схильним до ризику безпеки через те, що він дозволяє активно збирати дані, отримувати дані та обробляти дані з будь-якого місця у Всесвітній павутині чи Інтернеті. Хакери можуть спробувати надсилати шкідливі дані та сценарії та підробляти ваш сервер, збираючи та виконуючи зловмисні сценарії як власні..

Недобросовісні елементи можуть також намагатися читати і записувати файли на ваш сервер, щоб обганяти Веб-сайт і використовувати його для здійснення своїх жахливих дій.

Хороша новина полягає в тому, що ви можете фактично відрегулювати налаштування PHP, щоб підвищити безпеку установки PHP та допомогти захистити Веб-сайт від будь-яких форм жорстоких атак.

Файл Php.ini визначає параметри конфігурації, які PHP використовує під час роботи на вашому веб-сайті. Файл Php.ini визначає, що дозволено робити сценарії PHP та те, що їм заборонено.

Нижче наведено рекомендовані налаштування, які визначають безпеку вашого параметра конфігурації PHP.

Крок 1: Налаштування наступних рекомендованих параметрів Php.ini:

1. enable_url_fopen = Виключено enable_url_include = Вимкнено

консольКопіювати

enable_url_fopen = Вимкнено

Цей параметр вимикає окремі URL-адреси. Це може зробити файли, які обробляють функції, вразливими до введення коду. Цей параметр є дуже важливим через те, що він забороняє використовувати URL-адреси у висловлюваннях, таких як include (). Налаштувати"дозволити_url_fopen до "Вимкнено," Мається на увазі, що інтегрувати можна лише файли на Вашому веб-сайті.

Це означає, що ви не можете інтегрувати жоден файл з іншого сервера. Це також означає, що жоден зловмисник не може зробити це через атаки віддаленого включення файлів (RFI). (Під час RFI-атаки san imposter інтегрує URL-адресу в HTTP-запит, зважаючи на те, що він обдурить ваш сценарій, думаючи, що його виконує ваша команда. Така команда, як integrate- ("http://website.com/page.php"), наприклад, не буде виконано. Включіть файл із власного сайту, прописавши його шлях та ім’я файлу.

2. register_globals = Вимкнути Вимкнути налаштування Register_globals

консольКопіювати

register_globals = Вимкнено

Наприклад, для URL-адреси http://site.com/index.php?variable=***value*** змінна переміщується у ваш сценарій із значенням, встановленим на значення коли register_globals є "На." Коли register_globals є "Вимкнено," тим не менш, змінні звичайно не переносяться в список змінних списку змінних вашого сценарію. Це ускладнює хакерам введення коду у ваш сценарій.

3. open_basedir ="c: inetpub"

Цей параметр сценарію використовується для обмеження того, де системи PHP можуть читати та записувати у файловій системі.

4. safe_mode = Вимкнено safe_mode_gid = Вимкнено

Цей параметр використовується для відключення безпечного режиму.

консольКопіювати

safe_mode = Вимкнено

Цей параметр відсутній у "рекомендується Php.ini" файл. Це обмежує дозволи, надані сценаріям PHP для запуску. Багато сторонні сценарії не працюють належним чином, коли функцію safe_mode увімкнено та встановлено на "На." Зауважте, що запуск із PHP 6 safe_mode не існує.

5. max_execution_time = 30 max_input_time = 60

Цей параметр обмежує час, необхідний для виконання сценарію

6. memory_limit = 16M upload_max_filesize = 2M post_max_size = 8M max_input_nesting_levels = 64

Цей параметр обмежує пам’ять та розмір файлів, які можна використовувати.

7. display_errors = Вимкнено log_errors = Увімкнено помилка_log ="С: патофіуркоз"

Цей параметр допомагає налаштувати повідомлення про помилки та ведення журналу.

консольКопіювати

DISPLAY_ERRORS = Вимкнено
display_startup_errors = Вимкнено
log_errors = Увімкнено
error_reporting = E_ALL

Ці команди передбачають, що всі помилки та застереження реєструються у вашому текстовому файлі журналу помилок і вказується на те, що жодна з помилок чи попереджень не відображається на будь-якій веб-сторінці, що передається поза вашим сервером.

Помилки не повинні відображатися публічно через те, що вони можуть допомогти комусь визначити, як вони хочуть здійснити атаку на ваш сервер. Вам потрібно постійно перевіряти журнал помилок у будь-який час, коли ви тестуєте свіжий код.

8. fastcgi.logging = 0

Модуль FastCGI Internet Information Services (IIS) не поверне запит, коли PHP передасть будь-яку інформацію про stderr, використовуючи протокол FastCGI. Відключивши журнал FastCGI, ви зупините PHP від ​​передачі повідомлення про помилку на stderr та створення 500 кодів відповідей для користувача.

9. expose_php = Вимкнено

Цей параметр використовується, щоб приховати, що PHP інтегрований у веб-сервер.

10. $ _SERVER [‘DOCUMENT_ROOT’]

консольКопіювати

включити ($ _ SERVER [‘DOCUMENT_ROOT’]. ‘/ page.php’);

$ _SERVER [‘DOCUMENT_ROOT’] – це надглобальна змінна, яка налаштована як коренева папка вашого веб-сайту. (Зверніть увагу, що немає ніяких слідів "/"; вам потрібно запропонувати ведучого "/" в ‘/page.php’.)

Якщо ви маєте намір включити статичний вміст з іншого веб-сайту, яким ви хочете інтегруватись (“http://myothersite.com/includes/footer.php”), отримайте дублікат вмісту на цьому веб-сайті та після цього інтегруйте його локально..

Якщо вам дійсно потрібно інтегрувати вміст із ізольованого сайту, завжди слід використовувати URL-адреси та встановлювати enable_url_fopen = Увімкнено. Однак ви реалізуєте інший варіант захисту, щоб захиститись від атак RFI.

11. error_log = /home/yourUserID/public_html/phperr.txt

 консольКопіювати

error_log = /home/yourUserID/public_html/phperr.txt

Цей параметр визначає шлях та файл, у який увійшли ваші PHP помилки та застереження. Вам слід використовувати текстовий файл для ведення журналу помилок. Однак вам потрібно знати, що текстовий файл назавжди наробить помилки до того моменту, коли ви його не очистите. Збережіть файл журналу помилок у позиції на своєму веб-сайті, до якої не може бути доступна широка громадськість.

12. expose_php = Вимкнено

консольКопіювати

expose_php = Вимкнено

Цей параметр дозволяє заголовкам, які слідують за сторінками, що відходять, приховувати, що ви працюєте з PHP або пов’язаною версією.

КРОК 2: Перегляд параметрів PHP

Після налаштування вищезазначених параметрів PHP ви можете перевірити свої настройки, щоб отримати повний звіт про всі ваші налаштування PHP. Для цього виконайте наведені нижче дії.

1. Створіть текстовий файл з а .php розширення:

XMLCopy
<?php phpinfo (); ?>

2. Завантажте його на свій сервер і, якщо можливо, у папку, захищену паролем.

3. Клацніть, щоб відкрити веб-браузер, і введіть адреса в адресний рядок:

консольКопіювати

http://yoursite.com/wwhat/filename.php

4. Введіть свій ім’я користувача і пароль щоб отримати доступ до захищеної папки та перевірити сторінку, що отримує результат.

5. Клацніть Зберегти щоб зберегти отриману сторінку на локальному комп’ютері. Ви також можете роздрукувати його для подальшого використання.

6. Клацніть Видалити видалити .php файл із вашого сервера.

Ознайомтеся з цими трьома топ-хостинг-послугами Windows:

Господарі

Стартова ціна:
3,29 дол


Надійність
9.3


Ціноутворення
9.2


Користувач
9.2


Підтримка
9.3


Особливості
9.2

Прочитайте відгуки

Відвідайте Hostwinds

Time4VPS

Стартова ціна:
3,27 дол


Надійність
8.4


Ціноутворення
8.5


Користувач
8.3


Підтримка
8.1


Особливості
8.1

Прочитайте відгуки

Відвідайте Time4VPS

InterServer

Стартова ціна:
$ 5,00


Надійність
9.1


Ціноутворення
9.3


Користувач
9.1


Підтримка
9,0


Особливості
9.1

Прочитайте відгуки

Відвідайте InterServer

Пов’язані статті “Як”

  • Як забезпечити інтеграцію PHP у свою веб-сторінку за допомогою параметрів конфігурації
    проміжний
  • Як увімкнути конфігурацію PHP на сайті та вказати місце розташування Php.Ini
    проміжний
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me