Atacurile frecvente ale hackerilor demonstrează că securitatea web rămâne cea mai importantă problemă pentru oricine face afaceri pe internet. Serverele sunt cel mai adesea ținta acestor atacuri din cauza informațiilor pe care le stochează. De aceea este necesar să se asigure o protecție fiabilă a serverului.
Securizarea PHP pe Apache
Porniți protocolul „phpinfo ()” și verificați linia cu comanda „open_basedir”. Cu această comandă puteți defini directorul de bază pentru toți utilizatorii. După setarea acestei valori, nu vor mai putea deschide fișiere în afara acestui folder rădăcină sau a subdirectoarelor sale, cum ar fi „C: / Windows”.
Dacă aveți alte directoare structurale, definiți-le ca director de bază cu comanda „www_root”. Cu toate acestea, un utilizator va putea citi și modifica fișierele altui utilizator. Acest lucru trebuie prevenit.
Din păcate, nu există opțiuni în fișierul php.ini pentru a împiedica un utilizator să acceseze datele altuia.
Dar există un mod interesant dacă PHP rulează pe Apache. În phpinfo () veți găsi două coloane: Valoare primară și Valoare locală. Primul este valoarea din „php.ini”. A doua este o valoare care se determină în timp ce rulează serverul.
Dacă valoarea principală este mică în termeni numerici, atunci poate fi modificată în script folosind comanda „ini_set ()”. Acest lucru nu se aplică „open_basedir” deoarece această valoare este critică pentru securitate și poate fi modificată doar de un administrator.
În Apache, fișierul de configurare „httpd.conf” poate fi specificat în manual sub valoarea locală „open_basedir”.
Alte setări PHP
Prin setarea „disable_functions” în fișierul „php.ini”, trebuie să dezactivați funcțiile potențial periculoase.
Gândiți-vă bine la fiecare acțiune pe care o întreprindeți. Dezactivarea funcției înseamnă că unele scripturi nu vor mai funcționa.
Unele caracteristici sunt cu adevărat periculoase și nu sunt de obicei necesare pentru scriptare. Ar putea fi nevoie de altele în scopuri specifice. Prin urmare, nu este ușor să dezactivați toate funcțiile care pot fi periculoase, dar să vă cântăriți cu atenție deciziile.
Nu credeți că numai funcția "safe_mode = On" va fi suficientă. Poate dezactiva unele caracteristici utile și poate să nu rezolve problema de securitate descrisă mai sus. Modul sigur este depreciat în PHP 5.3.0 și este eliminat în PHP 6.0.0.
Probleme de protecție
Există mai multe greșeli pe care un dezvoltator de web le poate face și face site-ul nesigur.
De exemplu, dacă vă creați blogul și permiteți utilizatorilor să încarce imagini, acest lucru poate fi un pericol grav atunci când codul este scris de un începător. Există mai multe greșeli pe care un programator le poate face pe pagina de autentificare etc. Una dintre cele mai frecvente este lipsa unei interdicții de descărcare a algoritmilor rău intenționați.
Punctul important este că un site nesigur pe găzduirea publică reprezintă o amenințare pentru întregul server. Instalarea proiectelor Open Source precum PHP-Nuke poate fi riscantă. Au fost deja descoperite mai multe vulnerabilități în proiecte similare.
