Setări de securitate server pentru Apache și PHP

Setări de securitate server pentru Apache și PHP | Securitate 2025
Setări de securitate server pentru Apache și PHP | Securitate 2025
Cuprins
Unele sarcini care trebuie îndeplinite pentru a oferi o mai mare securitate și a evita problemele sunt:
Dezactivați afișarea erorilor și avertismentului în php, aceasta poate fi utilizată în etapa de programare pentru a ajuta dezvoltatorul să vadă erorile și apoi dezactivați-o atunci când web-ul intră în stadiul de producție.
Dezactivați toate notificările de eroare
Folosind următoarele variabile în php.ini:
raportare_eroare (0);
// Raportați numai erorile de execuție
error_reporting (E_ERROR | E_WARNING | E_PARSE);
// Raportați toate erorile, cu excepția E_NOTICE
error_reporting (E_ALL ​​E_NOTICE);
// Raportați toate erorile PHP (error_reporting (E_ALL);
De asemenea, pot fi activate și dezactivate prin plasarea codului la începutul paginii de executat.

Este întotdeauna important să corectăm și să nu ascundem erorile, mulți dezvoltatori folosesc error_reporting (0) pentru a ascunde erorile, dar acestea sunt încă acolo și ar putea fi profitate, trebuie să evităm întotdeauna că orice cod pe care îl dezvoltăm are erori, fie că este php, javascript sau limba pe care o folosim.
Este important să controlați variabilele și ce date introduc.
Schimbați extensia de fișier
Puteți schimba extensia atunci când invocați și executați scripturile în php, în fișiere cu o extensie html.
În fișierul de configurare apache (httpd.conf)
Căutăm linia:
AddType application / x-httpd-php

Și adăugăm .htm și .html la final, ar fi după cum urmează:
AddType application / x-httpd-php .htm .html

De asemenea, putem crea o extensie personalizată pentru a ascunde tipul de fișier vizitatorului
AddType application / x-httpd-php .bo .sol .tf
Acest lucru este foarte util din motive de securitate. Ascundem că aplicația este programată deoarece în browser veți vedea pur și simplu .html sau extensia personalizată în scripturile care sunt de fapt php. Multe site-uri web folosesc această metodă.
Verificați dacă register_globals este inactiv
Dezactivați register_globals și nu permiteți crearea de variabile din mers, printre altele cu:
register_globals = Dezactivat

Din php.ini acest lucru obligă să declare toate variabilele sau va da o eroare.
Dezactivați adresele URL la distanță pentru funcțiile care gestionează fișiere
Acest lucru servește astfel încât un fișier de pe serverul nostru să nu poată fi executat sau accesat de la altul, în php.ini dezactivăm allow_url_fopen
allow_url_fopen = Dezactivat

Limitați în directorul în care PHP poate citi sau executa orice script sau proces
open_basedir = /var/www/htdocs/midomino.com

Fiecare domeniu își poate modifica propriul php.ini dacă administratorul serverului o permite, deși acest lucru este rar.
Dezactivați Apache HTTP TRACE
HTTP TRACE este utilizat pentru a returna rezultatul cererii care a fost făcută către server.
Poate fi folosit pentru Cross Site Scripting sau atacuri XSS, deci cel mai bine este să îl dezactivați din motive de securitate.
Modificăm în / etc /httpd/conf/httpd.conf
TraceEnable dezactivat
Apache este unul dintre cele mai utilizate servere web, iar php este cel mai utilizat limbaj pentru dezvoltarea web, cu aceste configurații și instrumente putem ajuta la consolidarea securității site-ului nostru împotriva posibilelor atacuri.
wave wave wave wave wave

Posturi Populare

wave
1
post-title
Cum se utilizează și se descarcă emojis în Windows 10
2
post-title
Cum se elimină sunetul de pe tastatură Samsung Galaxy M10
3
post-title
Creați Slider și prezentări cu Reveal.js
4
post-title
Criptați sau decriptați fișierele OpenSSL cu parolă
5
post-title
PostgreSQL - Advanced Insert

Recomandat

wave
- Sponsored Ad -

Alegerea Editorului

wave
- Sponsored Ad -