Bí mật PHP

Một thẻ đã tồn tại với tên chi nhánh được cung cấp. Nhiều lệnh Git chấp nhận cả tên thẻ và tên nhánh, vì vậy việc tạo nhánh này có thể gây ra hành vi không mong muốn. Bạn có chắc chắn muốn tạo nhánh này không?

?>


Trang này nhằm giúp những người định cấu hình PHP và máy chủ web mà nó đang chạy trở nên rất an toàn

Dưới đây, bạn sẽ tìm thấy thông tin về cài đặt thích hợp cho tệp php.ini và hướng dẫn về cách định cấu hình máy chủ web Apache, Nginx và Caddy

Để biết bảo mật cơ sở mã PHP chung, vui lòng tham khảo hai hướng dẫn tuyệt vời sau đây

• Hướng dẫn bảo mật PHP 2018 của Paragonie
• Bảo mật PHP tuyệt vời

Cấu hình và triển khai PHP

php. ban đầu

Một số cài đặt sau cần được điều chỉnh cho phù hợp với hệ thống của bạn, cụ thể là session.save_path, session.cookie_path (e. g. /var/www/mysite), và

doc_root                = /path/DocumentRoot/PHP-scripts/
open_basedir            = /path/DocumentRoot/PHP-scripts/
include_path            = /path/PHP-pear/
extension_dir           = /path/PHP-extensions/
mime_magic.magicfile    = /path/PHP-magic.mime
allow_url_fopen         = Off
allow_url_include       = Off
variables_order         = "GPCS"
allow_webdav_methods    = Off
session.gc_maxlifetime  = 600

doc_root                = /path/DocumentRoot/PHP-scripts/
open_basedir            = /path/DocumentRoot/PHP-scripts/
include_path            = /path/PHP-pear/
extension_dir           = /path/PHP-extensions/
mime_magic.magicfile    = /path/PHP-magic.mime
allow_url_fopen         = Off
allow_url_include       = Off
variables_order         = "GPCS"
allow_webdav_methods    = Off
session.gc_maxlifetime  = 600

Bạn cũng nên chạy PHP 7. 2 hoặc muộn hơn. Nếu chạy PHP 7. 0 và 7. 1, bạn sẽ sử dụng các giá trị hơi khác nhau ở một số vị trí bên dưới (xem nhận xét nội tuyến). Cuối cùng xem qua Hướng dẫn PHP để có tài liệu tham khảo đầy đủ về mọi giá trị trong php. tập tin cấu hình ini

Bạn có thể tìm thấy bản sao của các giá trị sau trong tệp php sẵn sàng hoạt động. tập tin ini ở đây

Xử lý lỗi PHP

expose_php              = Off
error_reporting         = E_ALL
display_errors          = Off
display_startup_errors  = Off
log_errors              = On
error_log               = /valid_path/PHP-logs/php_error.log
ignore_repeated_errors  = Off

Hãy nhớ rằng bạn cần có

doc_root                = /path/DocumentRoot/PHP-scripts/
open_basedir            = /path/DocumentRoot/PHP-scripts/
include_path            = /path/PHP-pear/
extension_dir           = /path/PHP-extensions/
mime_magic.magicfile    = /path/PHP-magic.mime
allow_url_fopen         = Off
allow_url_include       = Off
variables_order         = "GPCS"
allow_webdav_methods    = Off
session.gc_maxlifetime  = 600

doc_root                = /path/DocumentRoot/PHP-scripts/
open_basedir            = /path/DocumentRoot/PHP-scripts/
include_path            = /path/PHP-pear/
extension_dir           = /path/PHP-extensions/
mime_magic.magicfile    = /path/PHP-magic.mime
allow_url_fopen         = Off
allow_url_include       = Off
variables_order         = "GPCS"
allow_webdav_methods    = Off
session.gc_maxlifetime  = 600

Cài đặt chung PHP

doc_root                = /path/DocumentRoot/PHP-scripts/
open_basedir            = /path/DocumentRoot/PHP-scripts/
include_path            = /path/PHP-pear/
extension_dir           = /path/PHP-extensions/
mime_magic.magicfile    = /path/PHP-magic.mime
allow_url_fopen         = Off
allow_url_include       = Off
variables_order         = "GPCS"
allow_webdav_methods    = Off
session.gc_maxlifetime  = 600

doc_root                = /path/DocumentRoot/PHP-scripts/
open_basedir            = /path/DocumentRoot/PHP-scripts/
include_path            = /path/PHP-pear/
extension_dir           = /path/PHP-extensions/
mime_magic.magicfile    = /path/PHP-magic.mime
allow_url_fopen         = Off
allow_url_include       = Off
variables_order         = "GPCS"
allow_webdav_methods    = Off
session.gc_maxlifetime  = 600

Xử lý tải lên tệp PHP

file_uploads            = On
upload_tmp_dir          = /path/PHP-uploads/
upload_max_filesize     = 2M
max_file_uploads        = 2

Nếu ứng dụng của bạn không sử dụng tính năng tải tệp lên và cho biết dữ liệu duy nhất mà người dùng sẽ nhập/tải lên là các biểu mẫu không yêu cầu bất kỳ tài liệu đính kèm nào, thì

doc_root                = /path/DocumentRoot/PHP-scripts/
open_basedir            = /path/DocumentRoot/PHP-scripts/
include_path            = /path/PHP-pear/
extension_dir           = /path/PHP-extensions/
mime_magic.magicfile    = /path/PHP-magic.mime
allow_url_fopen         = Off
allow_url_include       = Off
variables_order         = "GPCS"
allow_webdav_methods    = Off
session.gc_maxlifetime  = 600

doc_root                = /path/DocumentRoot/PHP-scripts/
open_basedir            = /path/DocumentRoot/PHP-scripts/
include_path            = /path/PHP-pear/
extension_dir           = /path/PHP-extensions/
mime_magic.magicfile    = /path/PHP-magic.mime
allow_url_fopen         = Off
allow_url_include       = Off
variables_order         = "GPCS"
allow_webdav_methods    = Off
session.gc_maxlifetime  = 600

Xử lý thực thi PHP

enable_dl               = Off
disable_functions       = system, exec, shell_exec, passthru, phpinfo, show_source, highlight_file, popen, proc_open, fopen_with_path, dbmopen, dbase_open, putenv, move_uploaded_file, chdir, mkdir, rmdir, chmod, rename, filepro, filepro_rowcount, filepro_retrieve, posix_mkfifo
# see also: http://ir.php.net/features.safe-mode
disable_classes         =

Đây là những hàm PHP nguy hiểm. Bạn nên vô hiệu hóa tất cả những gì bạn không sử dụng

Xử lý phiên PHP

Cài đặt phiên là một số giá trị quan trọng NHẤT cần tập trung vào khi định cấu hình. Đó là một thực hành tốt để thay đổi

doc_root                = /path/DocumentRoot/PHP-scripts/
open_basedir            = /path/DocumentRoot/PHP-scripts/
include_path            = /path/PHP-pear/
extension_dir           = /path/PHP-extensions/
mime_magic.magicfile    = /path/PHP-magic.mime
allow_url_fopen         = Off
allow_url_include       = Off
variables_order         = "GPCS"
allow_webdav_methods    = Off
session.gc_maxlifetime  = 600

 session.save_path                = /path/PHP-session/
 session.name                     = myPHPSESSID
 session.auto_start               = Off
 session.use_trans_sid            = 0
 session.cookie_domain            = full.qualified.domain.name
 #session.cookie_path             = /application/path/
 session.use_strict_mode          = 1
 session.use_cookies              = 1
 session.use_only_cookies         = 1
 session.cookie_lifetime          = 14400 # 4 hours
 session.cookie_secure            = 1
 session.cookie_httponly          = 1
 session.cookie_samesite          = Strict
 session.cache_expire             = 30
 session.sid_length               = 256
 session.sid_bits_per_character   = 6 # PHP 7.2+
 session.hash_function            = 1 # PHP 7.0-7.1
 session.hash_bits_per_character  = 6 # PHP 7.0-7.1

Một số kiểm tra hoang tưởng bảo mật hơn

session.referer_check   = /application/path
memory_limit            = 50M
post_max_size           = 20M
max_execution_time      = 60
report_memleaks         = On
track_errors            = Off
html_errors             = Off

Vớ vẩn

Suhosin là một bản vá cho PHP cung cấp một số tính năng tăng cường và bảo mật không có sẵn trong bản dựng PHP mặc định. Tuy nhiên, Suhosin chỉ hoạt động với PHP 5, không được hỗ trợ và không nên sử dụng

Đối với PHP 7, có Suhosin-ng, nhưng nó đang ở giai đoạn tiền phát hành và do đó không nên được sử dụng trong sản xuất

Snuffleupagus

Snuffleupagus là hậu duệ tinh thần của Suhosin cho PHP 7 trở đi, với các tính năng hiện đại. Nó được coi là ổn định và có thể sử dụng được trong sản xuất

Làm cách nào để sử dụng AWS Secrets Manager trong PHP?

Làm cách nào để bảo mật thông tin đăng nhập cơ sở dữ liệu trong PHP?

Làm cách nào để truy cập Azure Key Vault trong PHP?