Časté útoky hackerů dokazují, že zabezpečení webu zůstává nejdůležitějším problémem pro každého, kdo podniká na internetu. Servery jsou nejčastěji terčem těchto útoků kvůli informacím, které ukládají. Proto je nutné zajistit spolehlivou ochranu serveru.
Zabezpečení PHP na Apache
Spusťte protokol "phpinfo ()" a zkontrolujte řádek příkazem "open_basedir". Tímto příkazem můžete definovat základní adresář pro všechny uživatele. Po nastavení této hodnoty již nebudou moci otevírat soubory mimo tuto kořenovou složku nebo její podadresáře, například „C: / Windows“.
Pokud máte jiné strukturální adresáře, definujte je jako základní adresář pomocí příkazu „www_root“. Jeden uživatel však bude moci číst a upravovat soubory jiného uživatele. Tomu je třeba zabránit.
Bohužel v souboru php.ini nejsou žádné možnosti, které by zabránily jednomu uživateli v přístupu k datům jiného.
Existuje však jeden zajímavý způsob, pokud PHP běží na Apache. V phpinfo () najdete dva sloupce: Primární hodnota a Místní hodnota. První je hodnota v souboru „php.ini“. Druhá je hodnota, která je určena, když je server spuštěn.
Pokud je hlavní hodnota z numerického hlediska malá, lze ji ve skriptu změnit pomocí příkazu „ini_set ()“. To se nevztahuje na "open_basedir", protože tato hodnota je kritická z hlediska zabezpečení a může ji změnit pouze správce.
V Apache lze konfigurační soubor „httpd.conf“zadat v příručce pod místní hodnotou „open_basedir“.
Další nastavení PHP
Nastavením „disable_functions“v souboru „php.ini“musíte deaktivovat funkce, které jsou potenciálně nebezpečné.
Dobře si promyslete každou akci, kterou podniknete. Zakázání funkce znamená, že některé skripty přestanou fungovat.
Některé funkce jsou opravdu nebezpečné a pro skriptování se obvykle nevyžadují. Pro specifické účely mohou být zapotřebí další. Proto není snadné deaktivovat všechny funkce, které mohou být nebezpečné, ale také pečlivě zvážit svá rozhodnutí.
Nevěřte, že bude stačit pouze funkce "safe_mode = On". Může deaktivovat některé užitečné funkce a nemusí vyřešit výše popsaný bezpečnostní problém. Nouzový režim je v PHP 5.3.0 zastaralý a je odstraněn v PHP 6.0.0.
Problémy s ochranou
Existuje několik chyb, které může webový vývojář udělat a způsobit, že web není bezpečný.
Pokud například vytvoříte svůj blog a povolíte uživatelům nahrávat obrázky, může to být vážné nebezpečí, když kód napíše začátečník. Existuje několik chyb, které může programátor udělat na přihlašovací stránce atd. Jednou z nejčastějších je absence zákazu stahování škodlivých algoritmů.
Důležité je, že jeden nezabezpečený web na veřejném hostování je hrozbou pro celý server. Také instalace projektů s otevřeným zdrojovým kódem, jako je PHP-Nuke, může být riskantní. Několik zranitelností podobných projektů již bylo objeveno.
