如何根据OWASP PHP安全配置速查表优化我的网站安全设置?

2026-04-06 18:161阅读0评论SEO教程
  • 内容介绍
  • 文章标签
  • 相关推荐

本文共计714个文字,预计阅读时间需要3分钟。

如何根据OWASP PHP安全配置速查表优化我的网站安全设置?

介绍+这个页面的目的是为了帮助那些配置PHP和运行web服务器的用户确保其安全性。以下是你将找到的相关php.ini文件的正确配置信息。在php.ini下的一些设置需要根据你的系统进行相应调整。

介绍

这个页面的目的是为了帮助那些配置 PHP 和运行它的 web 服务器的人确保它的安全性。

下面你将找到有关 php.ini 文件的正确配置信息。

php.ini

下面的一些设置需要适应你的系统,特别是 session.save_path, session.cookie_path (例如: /var/www/mysite),和 session.cookie_domain (例如:ExampleSite.com)。

如何根据OWASP PHP安全配置速查表优化我的网站安全设置?

你还应该运行 PHP 7.2 或者更高版本。如果你运行的版本是 PHP 7.0 和 PHP 7.1 ,你将在下面的几个地方使用略有不同的值(看内联的注释)。

最后,查看 PHP 文档 以获得关于 php.ini 配置文件中每个值的参考。

你可以在一个现成的 php.ini 文件中找到以下配置的副本 此处 。

PHP 错误处理

expose_php = Off error_reporting = E_ALL display_errors = Off display_startup_errors = Off log_errors = On error_log = /valid_path/PHP-logs/php_error.log ignore_repeated_errors = Off

请注意:你需要在生产环境中 display_errors 设置成 Off, 同时最好养成经常查看这些日志的好习惯。

PHP 通用设置

doc_root = /path/DocumentRoot/PHP-scripts/ open_basedir = /path/DocumentRoot/PHP-scripts/ include_path = /path/PHP-pear/ extension_dir = /path/PHP-extensions/ mime_magic.magicfile = /path/PHP-magic.mime allow_url_fopen = Off allow_url_include = Off variables_order = "GPCS" allow_webdav_methods = Off session.gc_maxlifetime = 600

allow_url_* 很容易发生 LFI 还有 RFI 完全漏洞。

PHP 上传文件处理

file_uploads = On upload_tmp_dir = /path/PHP-uploads/ upload_max_filesize = 2M max_file_uploads = 2

如果你的应用没有使用文件上传功能,或者说用户唯一的输入上传的方式是通过没有包含文档附件的表单提交, file_uploads 应当被设置成 Off。

PHP 可执行处理

enable_dl = Off disable_functions = system, exec, shell_exec, passthru, phpinfo, show_source, highlight_file, popen, proc_open, fopen_with_path, dbmopen, dbase_open, putenv, move_uploaded_file, chdir, mkdir, rmdir, chmod, rename, filepro, filepro_rowcount, filepro_retrieve, posix_mkfifo # 请查看:ir.php.net/features.safe-mode disable_classes =

以上是 PHP 中存在危险的方法和类.。你应当禁用其中不会使用到的方法和类。

PHP session 处理

Session 设置中有一些需要重点关注的值, 将 session.name 改成新的是个很好的练习.

session.save_path = /path/PHP-session/ session.name = myPHPSESSID session.auto_start = Off session.use_trans_sid = 0 session.cookie_domain = full.qualified.domain.name #session.cookie_path = /application/path/ session.use_strict_mode = 1 session.use_cookies = 1 session.use_only_cookies = 1 session.cookie_lifetime = 14400 # 4小时 session.cookie_secure = 1 session.cookie_github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/PHP_Configuration_Cheat_Sheet.md

以上就是OWASP 维护的 PHP 安全配置速查表的详细内容,更多请关注自由互联其它相关文章!

标签:PHP安全配置查表

相关推荐

54283如何用jQuery实现两个列表框内容相互移动的长尾关键词功能?54284如何在vue项目中巧妙集成Jquery-contextmenu插件实现右键菜单功能?54288Vue如何实现左滑删除功能?54293如何正确升级详解项目到vue-cli3版本?54294如何用jQuery实现网站banner图片无缝轮播效果?54295如何快速掌握Webpack4进行高效打包?54313如何用Vue实现表单数据与表格内容的长尾词关联功能?54328如何优雅地使用asyncawait进行错误处理?54338如何通过Angular框架实现应用离线功能,遵循PWA指南?54342如何使用JQuery的queue方法实现复杂动画队列管理?54345如何实现JS双向链表并使用它?54352如何通过SEO与产品精优化实现网站长尾关键词的有效布局?54354如何通过长尾关键词优化,提升朝阳抖音SEO效果?54357珠海SEO报价是多少?揭秘关键因素有哪些?54360株洲SEO优化服务,有没有性价比高的关键词套餐推荐?54362珠海SEO如何助您在数字浪潮中品牌领航,独领风骚?

本文共计714个文字,预计阅读时间需要3分钟。

如何根据OWASP PHP安全配置速查表优化我的网站安全设置?

介绍+这个页面的目的是为了帮助那些配置PHP和运行web服务器的用户确保其安全性。以下是你将找到的相关php.ini文件的正确配置信息。在php.ini下的一些设置需要根据你的系统进行相应调整。

介绍

这个页面的目的是为了帮助那些配置 PHP 和运行它的 web 服务器的人确保它的安全性。

下面你将找到有关 php.ini 文件的正确配置信息。

php.ini

下面的一些设置需要适应你的系统,特别是 session.save_path, session.cookie_path (例如: /var/www/mysite),和 session.cookie_domain (例如:ExampleSite.com)。

如何根据OWASP PHP安全配置速查表优化我的网站安全设置?

你还应该运行 PHP 7.2 或者更高版本。如果你运行的版本是 PHP 7.0 和 PHP 7.1 ,你将在下面的几个地方使用略有不同的值(看内联的注释)。

最后,查看 PHP 文档 以获得关于 php.ini 配置文件中每个值的参考。

你可以在一个现成的 php.ini 文件中找到以下配置的副本 此处 。

PHP 错误处理

expose_php = Off error_reporting = E_ALL display_errors = Off display_startup_errors = Off log_errors = On error_log = /valid_path/PHP-logs/php_error.log ignore_repeated_errors = Off

请注意:你需要在生产环境中 display_errors 设置成 Off, 同时最好养成经常查看这些日志的好习惯。

PHP 通用设置

doc_root = /path/DocumentRoot/PHP-scripts/ open_basedir = /path/DocumentRoot/PHP-scripts/ include_path = /path/PHP-pear/ extension_dir = /path/PHP-extensions/ mime_magic.magicfile = /path/PHP-magic.mime allow_url_fopen = Off allow_url_include = Off variables_order = "GPCS" allow_webdav_methods = Off session.gc_maxlifetime = 600

allow_url_* 很容易发生 LFI 还有 RFI 完全漏洞。

PHP 上传文件处理

file_uploads = On upload_tmp_dir = /path/PHP-uploads/ upload_max_filesize = 2M max_file_uploads = 2

如果你的应用没有使用文件上传功能,或者说用户唯一的输入上传的方式是通过没有包含文档附件的表单提交, file_uploads 应当被设置成 Off。

PHP 可执行处理

enable_dl = Off disable_functions = system, exec, shell_exec, passthru, phpinfo, show_source, highlight_file, popen, proc_open, fopen_with_path, dbmopen, dbase_open, putenv, move_uploaded_file, chdir, mkdir, rmdir, chmod, rename, filepro, filepro_rowcount, filepro_retrieve, posix_mkfifo # 请查看:ir.php.net/features.safe-mode disable_classes =

以上是 PHP 中存在危险的方法和类.。你应当禁用其中不会使用到的方法和类。

PHP session 处理

Session 设置中有一些需要重点关注的值, 将 session.name 改成新的是个很好的练习.

session.save_path = /path/PHP-session/ session.name = myPHPSESSID session.auto_start = Off session.use_trans_sid = 0 session.cookie_domain = full.qualified.domain.name #session.cookie_path = /application/path/ session.use_strict_mode = 1 session.use_cookies = 1 session.use_only_cookies = 1 session.cookie_lifetime = 14400 # 4小时 session.cookie_secure = 1 session.cookie_github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/PHP_Configuration_Cheat_Sheet.md

以上就是OWASP 维护的 PHP 安全配置速查表的详细内容,更多请关注自由互联其它相关文章!