Linux管理員不可不知十大PHP安全要點(diǎn)

　　PHP是使用最廣泛的腳本編程語(yǔ)言之一。市場(chǎng)份額頗能說(shuō)明其主導(dǎo)地位。下面小編就PHP的安全問(wèn)題整理了以下文章，希望對(duì)大家有用，更多內(nèi)容請(qǐng)關(guān)注應(yīng)屆畢業(yè)生網(wǎng)!

　　PHP 7已推出，這個(gè)事實(shí)讓這種編程語(yǔ)言對(duì)當(dāng)前的開(kāi)發(fā)人員來(lái)說(shuō)更具吸引力。盡管出現(xiàn)了一些變化，但是許多開(kāi)發(fā)人員對(duì)PHP的未來(lái)持懷疑態(tài)度。一個(gè)原因是PHP的安全。PHP的安全是廣大開(kāi)發(fā)人員擔(dān)心的主要問(wèn)題。雖然PHP提供從里到外的可靠安全，但是需要由開(kāi)發(fā)人員正確地落實(shí)這些安全機(jī)制。我們?cè)诒疚闹袑�為L(zhǎng)inux管理員介紹幾個(gè)PHP安全要點(diǎn)。這些要點(diǎn)將幫助你確保Web應(yīng)用程序安全，并確保從長(zhǎng)遠(yuǎn)來(lái)看正常運(yùn)行。

　　在我們開(kāi)始之前，有必要了解一下我們所要處理的系統(tǒng)。出于演示的需要，我們使用Fedora。然而，這些要點(diǎn)應(yīng)該適用于Ubuntu版本或其他任何Linux發(fā)行版。查看你操作系統(tǒng)發(fā)行版的使用手冊(cè)，即可了解更多信息。

　　不妨仔細(xì)看一下我們系統(tǒng)環(huán)境的幾個(gè)關(guān)鍵文件。你的文件應(yīng)該類(lèi)似或?qū)��?yīng)于下列：

　　默認(rèn)的Web服務(wù)器：Apache

　　DocumentRoot：/var/www/html

　　PHP配置文件：/etc/php.ini

　　擴(kuò)展配置目錄：/etc/php.d/

　　安全文件：/etc/php.d/security.ini

　　1. 刪除不必要的模塊

　　PHP隨帶內(nèi)置的PHP模塊。它們對(duì)許多任務(wù)來(lái)說(shuō)很有用，但是不是每個(gè)項(xiàng)目都需要它們。只要輸入下面這個(gè)命令，就可以查看可用的PHP模塊：

　　# php - m

　　一旦你查看了列表，現(xiàn)在可以刪除不必要的模塊。減少模塊的數(shù)量有助于提高你所處理的Web應(yīng)用程序的性能和安全。

　　2. 限制PHP信息泄露

　　平臺(tái)泄露關(guān)鍵信息司空見(jiàn)慣。比如說(shuō)，PHP會(huì)泄露一些信息，比如版本以及它安裝到服務(wù)器上的事實(shí)。這可以通過(guò)expose_php命令來(lái)實(shí)現(xiàn)。為了防止泄露，你需要在/etc/php.d/security.ini中將該命令設(shè)成off。

　　expose_php=Off

　　如果你需要了解版本及其狀態(tài)，只要針對(duì)網(wǎng)站地址運(yùn)行一個(gè)簡(jiǎn)單的Curl命令就可以獲得該信息。

　　Curl - I http://www.livecoding.tv/index.php

　　之前的命令會(huì)返回下列信息：

　　HTTP/1.1 200 OK

　　X-Powered-By: PHP/7.0.10

　　Content-type: text/html; charset=UTF-8

　　3. 禁用遠(yuǎn)程代碼執(zhí)行

　　遠(yuǎn)程代碼執(zhí)行是PHP安全系統(tǒng)方面的常見(jiàn)安全漏洞之一。默認(rèn)情況下，遠(yuǎn)程代碼執(zhí)行在你的系統(tǒng)上已被啟用。“allow_url_fopen”命令允許請(qǐng)求(require)、包括(include)或可識(shí)別URL的fopen包裝器等函數(shù)可以直接訪(fǎng)問(wèn)PHP文件。遠(yuǎn)程訪(fǎng)問(wèn)通過(guò)使用HTTP或FTP協(xié)議來(lái)實(shí)現(xiàn)，會(huì)導(dǎo)致系統(tǒng)無(wú)力防御代碼注入安全漏洞。

　　為了確保你的系統(tǒng)安全可靠、遠(yuǎn)離遠(yuǎn)程代碼執(zhí)行，你可以將該命令設(shè)成“Off”，如下所示：

　　Allow_url_fopen=Off

　　allow_url_include=Off

　　4. 將PHP錯(cuò)誤記入日志

　　加強(qiáng)Web應(yīng)用程序安全的另一個(gè)簡(jiǎn)單方法就是，不向訪(fǎng)客顯示錯(cuò)誤。這將確保黑客根本無(wú)法危及網(wǎng)站的安全性。需要在/etc/php.d/security.ini文件里面進(jìn)行編輯。

　　display_errors=Off

　　現(xiàn)在你可能會(huì)想：完成這一步后，“開(kāi)發(fā)人員在沒(méi)有錯(cuò)誤信息的幫助下如何調(diào)試?”開(kāi)發(fā)人員可以使用log_errors命令來(lái)用于調(diào)試。他們只需要在security.ini文件中將log_errors命令設(shè)成“On”。

　　log_errors=On

　　error_log=/var/log/httpd/php_scripts_error.log

　　5. 合理控制資源

　　為了確保應(yīng)用程序的安全，控制資源很重要。為了確保適當(dāng)?shù)膱?zhí)行和安全，你就要對(duì)PHP腳本執(zhí)行予以限制。此外，還應(yīng)該對(duì)花在解析請(qǐng)求數(shù)據(jù)上的時(shí)間予以限制。如果執(zhí)行時(shí)間受到控制，腳本使用的內(nèi)存等其他資源也應(yīng)該會(huì)得到相應(yīng)配置。所有這些度量指標(biāo)可通過(guò)編輯security.ini文件來(lái)加以管理。

　　# set in seconds

　　max_execution_time = 25

　　max_input_time = 25

　　memory_limit = 30M

　　6. 禁用危險(xiǎn)的PHP函數(shù)

　　PHP隨帶用于開(kāi)發(fā)的實(shí)用函數(shù)，但是也有可能被黑客用來(lái)闖入Web應(yīng)用程序的大量函數(shù)。禁用這些函數(shù)可以提高總體安全性，并確保你沒(méi)有受到危險(xiǎn)的PHP函數(shù)的影響。

　　為此，你先要編輯php.ini文件。一旦進(jìn)入該文件，找到disable_functions命令，禁用里面的危險(xiǎn)函數(shù)。為此，你只要拷貝/粘貼下列代碼。

　　disable_functions =exec,passthru,

　　shell_exec,system,proc_open,popen,curl_exec,

　　curl_multi_exec,parse_ini_file,show_source

　　你可以在此(https://www.eukhost.com/blog/webhosting/dangerous-php-functions-must-be-disabled/)進(jìn)一步了解禁用危險(xiǎn)的PHP函數(shù)。

　　7. 上傳文件

　　如果你的應(yīng)用程序不需要上傳任何文件，禁用上傳文件的功能有助于提高安全。想禁止用戶(hù)上傳文件，只需要編輯/etc/php.d/目錄下的security.ini文件，將file_uploads命令設(shè)成OFF。

　　file_uploads=Off

　　8. 保持版本最新

　　開(kāi)發(fā)人員在24/7不間斷地工作，給你使用的技術(shù)打上補(bǔ)丁。PHP也是一樣。由于它有一個(gè)開(kāi)源社區(qū)，補(bǔ)丁和修正版定期發(fā)布。更新版還為首日漏洞及其他安全漏洞提供了安全補(bǔ)丁。如果你注重應(yīng)用程序的安全性，就要始終確保你的PHP解決方案是最新版本。另外，給其他相關(guān)技術(shù)打上最新的補(bǔ)丁可以確保最大限度的安全。

　　9.控制文件系統(tǒng)訪(fǎng)問(wèn)

　　默認(rèn)情況下，PHP可使用fopen()等函數(shù)來(lái)訪(fǎng)問(wèn)文件。open_basedir命令提供了訪(fǎng)問(wèn)。首先，始終要將open_basedir命令設(shè)成/var/www/html目錄。將它設(shè)成其他任何目錄會(huì)導(dǎo)致安全問(wèn)題。

　　open_basedir="/var/www/html/"

　　10. 控制POST大小

　　我們的最后一個(gè)PHP安全要點(diǎn)是控制POST大小函數(shù)。HTTP POST函數(shù)使用客戶(hù)端的瀏覽器，將數(shù)據(jù)發(fā)送到Web服務(wù)器。比如說(shuō)，用戶(hù)可能上傳證書(shū)，然后發(fā)送到Web瀏覽器以便處理。一切都運(yùn)行順暢，直到有一天黑客企圖發(fā)送龐大的文件來(lái)耗盡服務(wù)器資源。這很可能會(huì)導(dǎo)致服務(wù)器崩潰或響應(yīng)緩慢。為了保護(hù)服務(wù)器遠(yuǎn)離這個(gè)漏洞，就需要設(shè)置POST大小。POST大小可以在/etc/php.d/security.ini文件里面加以設(shè)置。

　　post_max_size=1k

　　結(jié)束語(yǔ)

　　安全是廣大Web開(kāi)發(fā)人員和Linux管理員最關(guān)注的問(wèn)題之一。如果采取了上述要點(diǎn)，你勢(shì)必可以加強(qiáng)開(kāi)發(fā)環(huán)境和PHP Web應(yīng)用程序方面的安全。要是你認(rèn)為我們遺漏了重要的內(nèi)容，歡迎留言補(bǔ)充。

【Linux管理員不可不知十大PHP安全要點(diǎn)】相關(guān)文章：

Linux管理員須知的十大PHP安全要點(diǎn)08-23

十大PHP安全要點(diǎn)10-01

PHP開(kāi)發(fā)安全保護(hù)的要點(diǎn)10-28

Linux學(xué)習(xí)基本要點(diǎn)01-25

Linux學(xué)習(xí)基本要點(diǎn)08-15

怎么在linux的CLI下運(yùn)行php文件11-05

PHP腳本修改Linux系統(tǒng)口令的方法09-05

Linux+Apache+Mysql+PHP優(yōu)化技巧10-23

PHP怎么執(zhí)行Linux系統(tǒng)命令函數(shù)08-10