PHP安全相关的配置（1）

原创

已于 2022-10-25 18:44:40 修改 · 362 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#php #安全 #服务器

于 2017-07-03 15:53:04 首次发布

本文介绍了PHP安全配置的重要性和几个常见的安全问题，包括全局变量注册、远程文件包含、SQL注入防御等，并提供了相应的安全配置建议。

PHP作为一门强大的脚本语言被越来越多的web应用程序采用，不规范的php安全配置可能会带来敏感信息泄漏、SQL注射、远程包含等问题，规范的安全配置可保障最基本的安全环境。下面我们分析几个会引发安全问题的PHP配置，并给出建议的选项。
1、 register_globals = Off
PHP在进程启动时，会根据register_globals的设置，判断是否将$_GET、$_POST、$_COOKIE、$_ENV、$_SERVER、$REQUEST等数组变量里的内容自动注册为全局变量。
我们举个例子来说明register_globals = On时，会引发的安全问题：
<?php
if (authenticated_user())
$authorized = true;
?>
// 由于authorized 未被初始化，故而可能通过register_globals被定义
// 如 GET example.php?authorized=1
<?php if (!$authorized):
// 一些重要的操作，比如SetCookies
include(“SetCookies.php”);
?>

对于上述代码，由于PHP会自动的为每个提交的值创建一个变量，这样只要在请求中提交http://example.com/example.php?authorized=1,即可获得授权操作，为了避免出现这样的问题，建议将register_globals配置为Off。
2、 allow_url_include =Off
PHP通过此选项控制是否允许通过include/require来执行一个远程文件(如http://evil.com/evil.php或ftp://evil.com/evil.php)。
代码示例如下：
// http://HostA/test.php如下：
<?php
$strParam = $_GET['param'];
if (!include_once($strParam.’.php’))