系统管理员必须知道的PHP安全实践

Apache?web?服务器提供了这种便利?：通过?HTTP?或?HTTPS?协议，访问文 件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以， 使用?PHP?时要小心。以下是?25?个?PHP?安全方面的最佳实践，可供系统管理 员们安全地配置?PHP。 为?PHP?安全提示而提供的示例环境 ◆文件根目录（DocumentRoot）：/var/www/html ◆?默?认?的?Web?服?务?器?：Apache（可?以?使?用?Lighttpd?或?Nginx?来?取?代 Apache） ◆默认的?PHP?配置文件?：/etc/php.ini ◆默认的?PHP?加载模块配置目录?：/etc/php.d/ ◆我们的示例?php?安全配置文件?：/etc/php.d/security.ini（需要使用文 本编辑器来创建该文件） ◆?操?作?系?统?：RHEL/CentOS/Fedora?Linux（相?关?指?令?应?该?与?Debian/ Ubuntu?等其他任何?Linux?发行版或者?OpenBSD/FreeBSD/HP-UX?等其他类 似?Unix?的操作系统兼容）。 ◆默认的?php?服务器?TCP/UDP?端口?：无 将所有PHP错误记入日志 别让?PHP?错误信息暴露在网站的所有访客面前。编辑?/etc/php.d/ security.ini，执行以下指令?： display_errors=Off 确保你将所有?PHP?错误记入到日志文件中?： log_errors=On error_log=/var/log/httpd/php_scripts_error.log 不允许上传文件 出于安全原因，编辑?/etc/php.d/security.ini，执行以下命令?： file_uploads=Off 如果使用你应用程序的用户需要上传文件，只要设置?upload_max_ filesize，即可启用该功能，该设置限制了?PHP?允许通过上传的文件的最大 值?： file_uploads=On #?用户通过?PHP?上传的文件最大?1MB upload_max_filesize=1M 关闭远程代码执行 如?果?启?用，allow_url_fopen?允?许?PHP?的?文?件?函?数?——?如?file_get_ contents()、include?语句和?require?语句——可以从远程地方（如?FTP?或网站） 获取数据。 allow_url_fopen?选项允许?PHP?的文件函数——如?file_get_contents()、 include?语句和?require?语句——可以使用?FTP?或?HTTP?协议，从远程地方 获取数据。编程员们常常忘了这一点，将用户提供的数据传送给这些函数 时，没有进行适当的输入过滤，因而给代码注入安全漏洞留下了隐患。基于 PHP?的?Web?应用程序中存在的众多代码注入安全漏洞是由启用?allow_url_ fopen?和糟糕的输入过滤共同引起的。编辑?/etc/php.d/security.ini，执行 以下指令?： allow_url_fopen=Off 出于安全原因，我还建议禁用?allow_url_include?： allow_url_include=Off 启用SQL安全模式 编辑?/etc/php.d/security.ini，执行以下指令?： sql.safe_mode=On 如果启用，mysql_connect()?和?mysql_pconnect()?就忽视传送给它们的 任何变量。请注意?：你可能得对自己的代码作一些更改。sql.safe_mode?启 用后，第三方开源应用程序（如?WorkdPress）及其他应用程序可能根本运行 不了。我还建议你针对所有安装的?php?5.3.x?关闭?magic_quotes_gpc，因 为它的过滤并不有效、不是很可靠。mysql_escape_string()?和自定义过滤 函数能起到更好的作用?： magic_quotes_gpc=Off 控制POST请求的大小 作为请求的一部分，客户机（浏览器或用户）需要将数据发送到?Apache Web?服务器时，比如上传文件或提交填好的表单时，就要用到?HTTP?POST 请求方法。攻击者可能会企图发送过大的?POST?请求，大量消耗你的系统 资源。你可以限制?PHP?将处理的?POST?请求的最大大小。编辑?/etc/php. d/security.ini，执行以下命令?： ;?在此设置实际可行的值 post_max_size=1K 1K?设置了?php?应用程序允许的?POST?请求数据的最大大小。该设置还 影响文件上传。要上传大容量文件，这个值必须大于?upload_max_filesize。 我还建议你限制使用?Apache?Web?服务器的可用方法。编辑?httpd.conf，执 行针对文件根目录?/var/www/html?的以下指令?： <Directory?/var/www/html> <LimitExcept?GET?POST> Order?allow,deny </LimitExcept> ##?可在此添加配置的其余部分?...?## </Directory> 资源控制（拒绝服务控制） 你可以设置每个?php?脚本的最长执行时间，以秒为单位。另一个建议的 选项是设置每个脚本可能用于解析请求数据的最长时间，以及脚本可能耗 用的最大内存数量。编辑?/etc/php.d/security.ini，执行以下命令?： #?设置，以秒为单位 max_execution_time?=?30 max_input_time?=?30 memory_limit?=?40M 为PHP安装Suhosin高级保护系统 Suhosin?是一款高级的保护系统，面向安装的?PHP。它旨在保护服务器和 用户，远离?PHP?应用程序和?PHP?核心中的已知缺陷和未知缺陷。Suhosin?分 两个独立部分，可以单独使用，也可以组合使用。第一个部分是针对?PHP?核 心的小补丁，实施了几个低级防护措施，以防范缓冲器溢出或格式字符串安 全漏洞?；第二个部分是功能强大的?PHP?加载模块，实施了其他所有的保护措 施。 保持PHP、软件和操作系统版本最新 打安全补丁是维护Linux、Apache、PHP和MySQL服务器的一个重要环节。 应该使用以下其中任何一个工具（如果你通过软件包管理器来安装?PHP）， 尽快检查所有的?PHP?安全更新版本，并尽快打上?： #?yum?update?或 #?apt-get?update?&&?apt-get?upgrade 你可以配置红帽?/CentOS/Fedora?Linux，以便通过电子邮件发送?yum?软 件包更新通知。另一个选项是通过?cron?job（计划任务）打上所有的安全 更新版。在?Debian/Ubuntu?Linux?下，可以使用?apticron?来发送安全通知。 注?：经常访问?php.net，寻找源代码安装的最新版本。 限制文件和目录访问 确保你以?Apache?或?www?等非根用户的身份来运行?Apache。所有文件 和目录都应该归非根用户（或?apache?用户）所有，放在?/var/www/html?下?： #?chown?-R?apache:apache?/var/www/html/ /var/www/html/?是个子目录，这是其他用户可以修改的文件根目录， 因为根目录从来不在那里执行任何文件，也不会在那里创建文件。 确保在?/var/www/html/?下，文件权限设成了?0444（只读）： #?chmod?-R?0444?/var/www/html/ 确保在?/var/www/html/?下，所有目录权限设成了?0445?： #?find?/var/www/html/?-type?d?-print0?|?xargs?-0?-I?{}?chmod?0445?{} 关于设置合适文件权限的补充 chown?和?chmod?命令确保?：不管在什么情况下，文件根目录或文件根目 录里面的文件都可以被?Web?服务器用户?apache?写入。请注意?：你需要设 置对你网站的开发模型最合理的权限，所以可以根据自身需要，随意调整 chown?和?chmod?命令。在这个示例中，Apache?服务器以?apache?用户的身 份来运行。这可以在你的?httpd.conf?文件中用?User?和?Group?命令来配置。 apache?用户需要对文件根目录下的所有内容享有读取访问权，但是不应该 享有写入访问权。 确保?httpd.conf?有以下命令，实现限制性配置?： <Directory?/?> Options?None AllowOverride?None Order?allow,deny </Directory> 由于篇幅所限，本文仅节选了?25?条最佳实践当中的?9?条。完整内容见 原文?： 25?PHP?Security?Best?Practices?For?Sys?Admins 译文?：http://os.51cto.com/art/201111/305014.htmv