Kā nodrošināt Web lapā integrētu PHP ar konfigurācijas iestatījumiem

PHP kodu var integrēt jūsu Web lapās kopā ar HTML kodu. Kad jūsu Web serveris saņem lapas pieprasījumu, lapa galvenokārt tiek piedāvāta PHP apstrādātājam. PHP apstrādātājs izvadīs HTML kodu, to nepielāgojot, un veic jebkuru PHP komandu. Tas arī izvada jebkuru HTML kodu, ko izveidojusi PHP komanda.


Tādējādi tiek izveidota Web lapa ar saturu, kas tiek mainīts uz servera pirms tā pārsūtīšanas pieprasījuma iesniedzējam.

Šīs PHP spējas arī padara to pakļautu drošības riskam, jo ​​tas ļauj aktīvi vākt datus, saņemt datus un apstrādāt datus no jebkuras vietas tīmeklī vai internetā. Hakeri var mēģināt ievietot ļaunprātīgus datus un skriptus un pievilināt jūsu serveri, lai viņš savāc un palaiž ļaunprātīgus skriptus kā savu.

Negodīgi elementi var arī mēģināt lasīt un rakstīt failus uz jūsu servera, lai apdzēstu vietni un izmantotu to savu krāpniecisko darbību veikšanai.

Labās ziņas ir tas, ka jūs faktiski varat pielāgot savus PHP iestatījumus, lai palielinātu PHP instalācijas drošību un palīdzētu vietni pasargāt no jebkāda veida ļaundarīgiem uzbrukumiem..

Php.ini failā ir norādīti konfigurācijas iestatījumi, kurus PHP izmanto, kad tas darbojas jūsu vietnē. Php.ini failā noteikts, ko atļauts darīt PHP skriptiem un ko viņiem neļauj darīt.

Zemāk ir ieteikti iestatījumi, kas nosaka jūsu PHP konfigurācijas iestatījumu drošību.

1. darbība: konfigurējiet šādus ieteiktos Php.ini iestatījumus:

1. atļaut_url_fopen = izslēgts atļaut_url_include = izslēgts

consoleCopy

allow_url_fopen = Izslēgts

Šis iestatījums atspējo izolētus vietrāžus URL. Tas var padarīt failus, kas apstrādā funkcijas, jutīgus pret kodu ievadīšanu. Šis iestatījums ir ļoti nozīmīgs, jo tas neļauj vietrāžus URL izmantot tādos paziņojumos kā ietvert (). Konfigurēt"atļaut_url_fopen uz "Izslēgts," nozīmē, ka var integrēt tikai jūsu vietnes failus.

Tas nozīmē, ka jūs nevarat integrēt nevienu failu no cita servera. Tas arī nozīmē, ka neviens uzbrucējs to nevar izdarīt, izmantojot attālinātās failu iekļaušanas (RFI) uzbrukumus. (RFI uzbrukumā san imposter integrē vietrādi URL HTTP vaicājumā ar domu, ka tas maldinās jūsu skriptu domās, ka to vada jūsu. Tāda komanda kā integrate- ("http://website.com/page.php"), piemēram, netiks izpildīts. Iekļaujiet savas vietnes failu, precīzi norādot tā ceļu un faila nosaukumu.

2. register_globals = Izslēgts Disable Register_globals Setting

consoleCopy

register_globals = Izslēgts

Piemēram, vietrādim URL http://site.com/index.php?variable=***value*** mainīgais tiek pārvietots uz jūsu skriptu un tā vērtība ir iestatīta uz vērtību kad ir register_globals "Ieslēgts." Kad register_globals ir "Izslēgts," tomēr mainīgie parasti netiek pārsūtīti jūsu skripta mainīgo saraksta mainīgo sarakstā. Tas hakeriem apgrūtina koda ievadīšanu jūsu skriptā.

3. open_basedir ="c: inetpub"

Šis skripta iestatījums tiek izmantots, lai ierobežotu vietas, kur PHP sistēmas var lasīt un rakstīt failu sistēmā.

4. safe_mode = izslēgts safe_mode_gid = izslēgts

Šis iestatījums tiek izmantots, lai atspējotu drošo režīmu.

consoleCopy

safe_mode = Izslēgts

Šis iestatījums nav "ieteicams Php.ini" failu. Tas ierobežo PHP skriptu darbībai piešķirtās atļaujas. Daudzi trešās puses skripti nedarbojas pareizi, ja ir ieslēgts un iestatīts uz safe_mode "Ieslēgts." Ievērojiet, ka sākot ar PHP 6 safe_mode neeksistē.

5. max_execution_time = 30 max_input_time = 60

Šis iestatījums ierobežo laiku, kas nepieciešams skripta izpildei

6. memory_limit = 16M upload_max_filesize = 2M post_max_size = 8M max_input_nesting_levels = 64

Šis iestatījums ierobežo izmantojamo failu atmiņu un lielumu.

7. display_errors = Izslēgts log_errors = On error_log ="C: izvēles iespēja"

Šis iestatījums palīdz konfigurēt kļūdu ziņojumus un reģistrēšanu.

consoleCopy

DISPLAY_ERRORS = Izslēgts
display_startup_errors = Izslēgts
log_errors = Ieslēgts
error_reporting = E_ALL

Šīs komandas nosaka, ka visas kļūdas un brīdinājumi tiek reģistrēti jūsu kļūdu žurnāla teksta failā, un tiek norādīts, ka neviena no kļūdām vai brīdinājumiem netiek parādīta nevienā Web lapā, kas tiek pārsūtīta ārpus jūsu servera.

Kļūdas nevajadzētu parādīt publiski, jo tās var kādam palīdzēt noteikt veidu, kā viņi vēlas sākt uzbrukumu jūsu serverim. Jebkurā laikā, kad pārbaudāt jaunu kodu, jums ir pastāvīgi jāpārbauda kļūdu žurnāls.

8. fastcgi.logging = 0

Interneta informācijas pakalpojumu (IIS) FastCGI modulis neatgriezīs vaicājumu, kad PHP pārsūtīs visu informāciju par stderr, izmantojot FastCGI protokolu. Atspējojot FastCGI reģistrēšanu, jūs pārtrauksit PHP pārsūtīt kļūdas ziņojumu uz stderr un izveidot 500 atbildes kodus lietotājam.

9. expose_php = Izslēgts

Šis iestatījums tiek izmantots, lai slēptu, ka PHP ir integrēts tīmekļa serverī.

10. $ _SERVER [‘DOCUMENT_ROOT’]

consoleCopy

iekļaut ($ _ SERVER [‘DOCUMENT_ROOT’]. ‘/page.php’);

$ _SERVER [‘DOCUMENT_ROOT’] ir superglobāls mainīgais, kas ir konfigurēts kalpot kā jūsu vietnes saknes mape. (Ņemiet vērā, ka nav aizmugures "/"; jums jāpiedāvā vadošais "/" mapē “/ page.php”.)

Ja plānojat iekļaut statisku saturu no citas jums piederošas vietnes, kas patīk integrēt (“http://myothersite.com/includes/footer.php”), iegūstiet pašreizējās vietnes satura dublikātu un pēc tam to vietēji integrējiet..

Ja jums patiešām ir jāintegrē saturs no izolētas vietnes, jums vienmēr vajadzētu izmantot vietrāžus URL un iestatīt allow_url_fopen = On. Tomēr jūs ieviesīsit vēl vienu drošības iespēju, lai būtu drošībā pret RFI uzbrukumiem.

11. error_log = /home/yourUserID/public_html/phperr.txt

 consoleCopy

error_log = /home/yourUserID/public_html/phperr.txt

Šis iestatījums nosaka ceļu un failu, kurā ir pieteicies jūsu PHP kļūdas un brīdinājumi. Kļūdu reģistrēšanai vajadzētu izmantot teksta failu. Tomēr jums jāapzinās, ka teksta fails uz visiem laikiem izveidos kļūdas, līdz brīdim, kad tas tiks notīrīts. Saglabājiet kļūdu žurnāla failu vietā jūsu vietnē, kurai nevar piekļūt plaša sabiedrība.

12. expose_php = Izslēgts

consoleCopy

expose_php = Izslēgts

Šis iestatījums ļauj galvenēm, kas seko aizejošajām lapām, slēpt, ka jūs izmantojat PHP vai ar to saistīto versiju.

2. Solis: apskatiet PHP iestatījumus

Pēc iepriekš minēto PHP iestatījumu konfigurēšanas varat pārbaudīt iestatījumus, lai iegūtu pilnīgu pārskatu par visiem PHP iestatījumiem. Lai to izdarītu, rīkojieties šādi:

1. Ģenerējiet teksta failu ar .php pagarinājums:

XMLCkopija
<?php phpinfo (); ?>

2. Augšupielādējiet to serverī un, ja iespējams, mapē, kas ir aizsargāta ar paroli.

3. Noklikšķiniet, lai atvērtu Web pārlūkprogrammu, un ievadiet adrese adreses joslā:

consoleCopy

http://yoursite.com/whatever/filename.php

4. Ievadiet savu lietotājvārds un paroli lai piekļūtu aizsargātajā mapē un pārbaudītu iegūto lapu.

5. Noklikšķiniet uz Saglabāt lai saglabātu iegūto lapu vietējā datorā. To var arī izdrukāt turpmākai izmantošanai.

6. Noklikšķiniet uz Dzēst izdzēst .php failu no servera.

Apskatiet šos trīs populārākos Windows mitināšanas pakalpojumus:

Resursu vēji

Sākuma cena:
3,29 USD


Uzticamība
9.3


Cenu noteikšana
9.2


Lietotāju draudzīgs
9.2


Atbalsts
9.3


Iespējas
9.2

Lasīt atsauksmes

Apmeklējiet vietni Hostwinds

Time4VPS

Sākuma cena:
3,27 USD


Uzticamība
8.4


Cenu noteikšana
8.5


Lietotāju draudzīgs
8.3


Atbalsts
8.1


Iespējas
8.1

Lasīt atsauksmes

Apmeklējiet vietni Time4VPS

Starpniekserveris

Sākuma cena:
5,00 USD


Uzticamība
9.1


Cenu noteikšana
9.3


Lietotāju draudzīgs
9.1


Atbalsts
9.0


Iespējas
9.1

Lasīt atsauksmes

Apmeklējiet InterServer

Saistītie padomi

  • Kā nodrošināt Web lapā integrētu PHP ar konfigurācijas iestatījumiem
    starpposms
  • Kā iespējot vietņu PHP konfigurāciju un norādīt Php.Ini atrašanās vietu
    starpposms
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me