Dažnos įsilaužėlių atakos įrodo, kad interneto saugumas išlieka svarbiausia problema tiems, kurie užsiima verslu internete. Dažniausiai šių atakų taikiniai yra serveriai dėl jų saugomos informacijos. Štai kodėl būtina užtikrinti patikimą serverio apsaugą.
PHP saugumas „Apache“
Paleiskite „phpinfo ()“protokolą ir patikrinkite eilutę naudodami komandą „open_basedir“. Naudodami šią komandą galite apibrėžti pagrindinį katalogą visiems vartotojams. Nustačius šią vertę, jie nebegalės atidaryti failų už šio šakninio aplanko ar jo pakatalogių, pvz., „C: / Windows“, ribų.
Jei turite kitų struktūrinių katalogų, nurodykite juos kaip pagrindinį katalogą naudodami komandą „www_root“. Tačiau vienas vartotojas taip pat galės skaityti ir modifikuoti kito vartotojo failus. To reikia išvengti.
Deja, php.ini faile nėra jokių galimybių neleisti vienam vartotojui pasiekti kito asmens duomenų.
Tačiau yra vienas įdomus būdas, jei PHP veikia „Apache“. Phpinfo () rasite du stulpelius: Pagrindinė vertė ir Vietinė vertė. Pirmasis yra reikšmė „php.ini“. Antroji yra reikšmė, kuri nustatoma veikiant serveriui.
Jei pagrindinė vertė yra maža skaitine prasme, ją galima pakeisti scenarijuje naudojant komandą "ini_set ()". Tai netaikoma „open_basedir“, nes ši reikšmė yra svarbi saugai ir ją gali pakeisti tik administratorius.
„Apache“konfigūracijos failą „httpd.conf“galima nurodyti vadovo vietinėje reikšmėje „open_basedir“.
Kiti PHP nustatymai
Nustačius „disable_functions“faile „php.ini“, turite išjungti potencialiai pavojingas funkcijas.
Gerai apgalvokite kiekvieną savo veiksmą. Išjungus funkciją, kai kurie scenarijai nustos veikti.
Kai kurios funkcijos yra tikrai pavojingos ir paprastai nereikalingos scenarijams. Kitų gali prireikti konkretiems tikslams. Todėl nelengva išjungti visas funkcijas, kurios gali būti pavojingos, tačiau taip pat atidžiai pasverkite savo sprendimus.
Netikėkite, kad pakaks vien funkcijos „safe_mode = On“. Tai gali išjungti kai kurias naudingas funkcijas ir neišspręsti aukščiau aprašytos saugos problemos. Saugusis režimas nebenaudojamas naudojant PHP 5.3.0 ir pašalinamas iš PHP 6.0.0.
Apsaugos klausimai
Yra kelios klaidos, kurias interneto svetainių kūrėjas gali padaryti, ir padaryti svetaines nesaugias.
Pvz., Jei kuriate savo tinklaraštį ir leidžiate vartotojams įkelti vaizdus, tai gali būti rimtas pavojus, kai kodą parašo pradedantysis. Yra keletas klaidų, kurias programuotojas gali padaryti prisijungimo puslapyje ir pan. Viena iš dažniausiai pasitaikančių yra draudimas atsisiųsti kenkėjiškus algoritmus.
Svarbus dalykas yra tai, kad viena nesaugi viešojo prieglobos svetainė kelia grėsmę visam serveriui. Taip pat gali būti rizikinga įdiegti tokius atvirojo kodo projektus kaip PHP-Nuke. Jau buvo atrasta keletas panašių projektų pažeidžiamumų.
