Hyppige hackerangreb beviser, at websikkerhed stadig er det vigtigste spørgsmål for enhver, der driver forretning på Internettet. Servere er oftest mål for disse angreb på grund af de oplysninger, de gemmer. Derfor er det nødvendigt at sikre pålidelig serverbeskyttelse.
Sikring af PHP på Apache
Start "phpinfo ()" -protokollen, og kontroller linjen med kommandoen "open_basedir". Med denne kommando kan du definere basemappen for alle brugere. Efter indstilling af denne værdi vil de ikke længere kunne åbne filer uden for denne rodmappe eller dens underkataloger såsom "C: / Windows".
Hvis du har andre strukturelle mapper, skal du definere dem som basismappen med kommandoen "www_root". En bruger vil dog også være i stand til at læse og ændre en anden brugers filer. Dette skal forhindres.
Desværre er der ingen indstillinger i php.ini-filen for at forhindre en bruger i at få adgang til en andens data.
Men der er en interessant måde, hvis PHP kører på Apache. I phpinfo () finder du to kolonner: Primær værdi og lokal værdi. Den første er værdien i "php.ini". Den anden er en værdi, der bestemmes, mens serveren kører.
Hvis hovedværdien er lille i numeriske termer, kan den ændres i scriptet ved hjælp af kommandoen "ini_set ()". Dette gælder ikke for "open_basedir", fordi denne værdi er sikkerhedskritisk og kun kan ændres af en administrator.
I Apache kan konfigurationsfilen "httpd.conf" specificeres i manualen under den lokale værdi "open_basedir".
Andre PHP-indstillinger
Ved at indstille "deaktiver_funktioner" i "php.ini" -filen skal du deaktivere funktioner, der er potentielt farlige.
Tænk nøje over hver handling, du tager. Deaktivering af funktionen betyder, at nogle scripts holder op med at arbejde.
Nogle funktioner er virkelig farlige og er normalt ikke nødvendige til scripting. Andre kan være nødvendige til specifikke formål. Derfor er det ikke let at deaktivere alle funktioner, der kan være farlige, men også nøje afveje dine beslutninger.
Tro ikke, at funktionen "safe_mode = On" alene er tilstrækkelig. Det deaktiverer muligvis nogle nyttige funktioner og løser muligvis ikke sikkerhedsproblemet beskrevet ovenfor. Sikker tilstand er udfaset i PHP 5.3.0 og fjernes i PHP 6.0.0.
Beskyttelsesproblemer
Der er flere fejl, som en webudvikler kan lave og gøre et websted usikkert.
For eksempel, hvis du opretter din blog og tillader brugere at uploade billeder, kan dette være en alvorlig fare, når koden skrives af en nybegynder. Der er flere fejl, som en programmør kan lave på login-siden osv. En af de mest almindelige er manglen på et forbud mod at downloade ondsindede algoritmer.
Det vigtige punkt er, at et usikkert sted på offentlig hosting er en trussel mod hele serveren. Det kan også være risikabelt at installere Open Source-projekter som PHP-Nuke. Flere sårbarheder i lignende projekter er allerede blevet opdaget.