hi,你好!欢迎访问本站!登录
本站由简数采集腾讯云宝塔系统阿里云强势驱动
当前位置:首页 - 文章 - 后端开发 - 正文 看Cosplay古风插画小姐姐,合集图集打包下载:炫龙网 · 炫龙图库

OWASP 保护的 PHP 平安设置速查表_后端开发

2019-12-04后端开发ki4网20°c
A+ A-

引见

这个页面的目标是为了协助那些设置 PHP 和运转它的 web 服务器的人确保它的平安性。

下面你将找到有关 php.ini 文件的准确设置信息。

php.ini

下面的一些设置须要顺应你的体系,特别是 session.save_path, session.cookie_path (比方: /var/www/mysite),和 session.cookie_domain (比方:ExampleSite.com)。

你还应该运转 PHP 7.2 或许更高版本。假如你运转的版本是 PHP 7.0 和 PHP 7.1 ,你将在下面的几个处所运用略有不同的值(看内联的解释)。

末了,检察 PHP 文档 以取得关于 php.ini 设置文件中每一个值的参考。

你能够在一个现成的 php.ini 文件中找到以下设置的副本 此处 。

PHP 错误处置惩罚

expose_php              = Off
error_reporting         = E_ALL
display_errors          = Off
display_startup_errors  = Off
log_errors              = On
error_log               = /valid_path/PHP-logs/php_error.log
ignore_repeated_errors  = Off

请注意:你须要在生产环境中 display_errors 设置成 Off, 同时最好养成常常检察这些日记的好习惯。

PHP 通用设置

doc_root                = /path/DocumentRoot/PHP-scripts/
open_basedir            = /path/DocumentRoot/PHP-scripts/
include_path            = /path/PHP-pear/
extension_dir           = /path/PHP-extensions/
mime_magic.magicfile    = /path/PHP-magic.mime
allow_url_fopen         = Off
allow_url_include       = Off
variables_order         = "GPCS"
allow_webdav_methods    = Off
session.gc_maxlifetime  = 600

allow_url_* 很容易发生 LFI 另有 RFI 完整破绽。

PHP 上传文件处置惩罚

file_uploads            = On
upload_tmp_dir          = /path/PHP-uploads/
upload_max_filesize     = 2M
max_file_uploads        = 2

假如你的运用没有运用文件上传功用,或许说用户唯一的输入上传的体式格局是经由过程没有包括文档附件的表单提交, file_uploads 应该被设置成 Off。

PHP 可执行处置惩罚

enable_dl               = Off
disable_functions       = system, exec, shell_exec, passthru, phpinfo, show_source, highlight_file, popen, proc_open, fopen_with_path, dbmopen, dbase_open, putenv, move_uploaded_file, chdir, mkdir, rmdir, chmod, rename, filepro, filepro_rowcount, filepro_retrieve, posix_mkfifo
# 请检察:http://ir.php.net/features.safe-mode
disable_classes         =

以上是 PHP 中存在风险的要领和类.。你应该禁用个中不会运用到的要领和类。

PHP session 处置惩罚

Session 设置中有一些须要重点关注的值, 将 session.name 改成新的是个很好的演习.

 session.save_path                = /path/PHP-session/
 session.name                     = myPHPSESSID
 session.auto_start               = Off
 session.use_trans_sid            = 0
 session.cookie_domain            = full.qualified.domain.name
 #session.cookie_path             = /application/path/
 session.use_strict_mode          = 1
 session.use_cookies              = 1
 session.use_only_cookies         = 1
 session.cookie_lifetime          = 14400 # 4小时 
 session.cookie_secure            = 1
 session.cookie_httponly          = 1
 session.cookie_samesite          = Strict
 session.cache_expire             = 30 
 session.sid_length               = 256
 session.sid_bits_per_character   = 6 # PHP 7.2+
 session.hash_function            = 1 # PHP 7.0-7.1
 session.hash_bits_per_character  = 6 # PHP 7.0-7.1

更多的平安隐患的搜检

session.referer_check   = /application/path
memory_limit            = 50M
post_max_size           = 20M
max_execution_time      = 60
report_memleaks         = On
track_errors            = Off
html_errors             = Off

英文原文地点:

https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/PHP_Configuration_Cheat_Sheet.md

以上就是OWASP 保护的 PHP 平安设置速查表的细致内容,更多请关注ki4网别的相干文章!

  选择打赏方式
微信赞助

打赏

QQ钱包

打赏

支付宝赞助

打赏

  选择分享方式
  移步手机端
OWASP 保护的 PHP 平安设置速查表_后端开发

1、打开你手机的二维码扫描APP
2、扫描左则的二维码
3、点击扫描获得的网址
4、可以在手机端阅读此文章
标签:

发表评论

选填

必填

必填

选填

请拖动滑块解锁
>>