Hyppige hackerangrep viser at websikkerhet fortsatt er det viktigste problemet for alle som driver forretninger på Internett. Servere er oftest mål for disse angrepene på grunn av informasjonen de lagrer. Derfor er det nødvendig å sikre pålitelig serverbeskyttelse.
Sikre PHP på Apache
Start "phpinfo ()" -protokollen og sjekk linjen med kommandoen "open_basedir". Med denne kommandoen kan du definere basiskatalogen for alle brukere. Etter å ha satt denne verdien, vil de ikke lenger kunne åpne filer utenfor denne rotmappen eller dens underkataloger som "C: / Windows".
Hvis du har andre strukturelle kataloger, definer dem som basiskatalogen med kommandoen "www_root". Imidlertid vil en bruker også kunne lese og endre en annen brukers filer. Dette må forhindres.
Dessverre er det ingen alternativer i php.ini-filen for å forhindre at en bruker får tilgang til andres data.
Men det er en interessant måte hvis PHP kjører på Apache. I phpinfo () finner du to kolonner: Primærverdi og Lokal verdi. Den første er verdien i "php.ini". Den andre er en verdi som bestemmes mens serveren kjører.
Hvis hovedverdien er liten i numeriske termer, kan den endres i skriptet ved hjelp av kommandoen "ini_set ()". Dette gjelder ikke "open_basedir" fordi denne verdien er sikkerhetskritisk og kan bare endres av en administrator.
I Apache kan konfigurasjonsfilen "httpd.conf" spesifiseres i manualen under den lokale verdien "open_basedir".
Andre PHP-innstillinger
Ved å sette "disable_functions" i "php.ini" -filen, må du deaktivere funksjoner som er potensielt farlige.
Tenk nøye gjennom hver handling du tar. Deaktivering av funksjonen betyr at noen skript slutter å fungere.
Noen funksjoner er veldig farlige og er vanligvis ikke nødvendige for skripting. Andre kan være behov for spesifikke formål. Derfor er det ikke lett å deaktivere alle funksjoner som kan være farlige, men også nøye veie dine beslutninger.
Ikke tro at "safe_mode = On" -funksjonen alene vil være tilstrekkelig. Det kan deaktivere noen nyttige funksjoner og løse ikke sikkerhetsproblemet beskrevet ovenfor. Sikker modus avvikles i PHP 5.3.0 og fjernes i PHP 6.0.0.
Beskyttelsesproblemer
Det er flere feil en webutvikler kan gjøre og gjøre et nettsted usikkert.
For eksempel, hvis du oppretter bloggen din og lar brukerne laste opp bilder, kan dette være en alvorlig fare når koden skrives av en nybegynner. Det er flere feil som en programmerer kan gjøre på innloggingssiden, etc. En av de vanligste er mangelen på et forbud mot nedlasting av ondsinnede algoritmer.
Det viktige poenget er at et usikkert nettsted på offentlig hosting er en trussel for hele serveren. Det kan også være risikabelt å installere Open Source-prosjekter som PHP-Nuke. Flere sårbarheter i lignende prosjekter er allerede oppdaget.