Các cuộc tấn công thường xuyên của hacker chứng minh rằng bảo mật web vẫn là vấn đề quan trọng nhất đối với bất kỳ ai kinh doanh trên Internet. Các máy chủ thường là mục tiêu của các cuộc tấn công này vì thông tin chúng lưu trữ. Đó là lý do tại sao nó là cần thiết để đảm bảo bảo vệ máy chủ đáng tin cậy.
Bảo mật PHP trên Apache
Khởi động giao thức "phpinfo ()" và kiểm tra dòng bằng lệnh "open_basedir". Với lệnh này, bạn có thể xác định thư mục cơ sở cho tất cả người dùng. Sau khi đặt giá trị này, họ sẽ không thể mở tệp bên ngoài thư mục gốc này hoặc các thư mục con của nó như "C: / Windows".
Nếu bạn có các thư mục cấu trúc khác, hãy xác định chúng là thư mục cơ sở bằng lệnh "www_root". Tuy nhiên, một người dùng cũng sẽ có thể đọc và sửa đổi các tệp của người dùng khác. Điều này phải được ngăn chặn.
Thật không may, không có tùy chọn nào trong tệp php.ini để ngăn một người dùng truy cập vào dữ liệu của người khác.
Nhưng có một cách thú vị nếu PHP đang chạy trên Apache. Trong phpinfo (), bạn sẽ tìm thấy hai cột: Giá trị chính và Giá trị cục bộ. Đầu tiên là giá trị trong "php.ini". Thứ hai là một giá trị được xác định trong khi máy chủ đang chạy.
Nếu giá trị chính nhỏ theo số thì có thể thay đổi giá trị đó trong tập lệnh bằng lệnh "ini_set ()". Điều này không áp dụng cho "open_basedir" vì giá trị này là bảo mật quan trọng và chỉ quản trị viên mới có thể thay đổi được.
Trong Apache, tệp cấu hình "httpd.conf" có thể được chỉ định trong hướng dẫn sử dụng dưới giá trị cục bộ "open_basedir".
Các cài đặt PHP khác
Bằng cách đặt "disable_functions" trong tệp "php.ini", bạn phải tắt các chức năng có thể nguy hiểm.
Hãy suy nghĩ cẩn thận về mọi hành động bạn thực hiện. Vô hiệu hóa chức năng có nghĩa là một số tập lệnh sẽ ngừng hoạt động.
Một số tính năng thực sự nguy hiểm và thường không được yêu cầu cho quá trình tạo tập lệnh. Những người khác có thể cần thiết cho các mục đích cụ thể. Vì vậy, không dễ dàng để vô hiệu hóa tất cả các chức năng có thể gây nguy hiểm, nhưng hãy cân nhắc kỹ lưỡng các quyết định của bạn.
Đừng tin rằng chỉ riêng hàm "safe_mode = On" là đủ. Nó có thể vô hiệu hóa một số tính năng hữu ích và có thể không giải quyết được vấn đề bảo mật được mô tả ở trên. Chế độ an toàn không được chấp nhận trong PHP 5.3.0 và bị loại bỏ trong PHP 6.0.0.
Vấn đề bảo vệ
Có một số sai lầm mà nhà phát triển web có thể mắc phải và làm cho một trang web không an toàn.
Ví dụ: nếu bạn tạo blog của mình và cho phép người dùng tải lên hình ảnh, thì đây có thể là một mối nguy hiểm nghiêm trọng khi mã được viết bởi người mới bắt đầu. Có một số sai lầm mà một lập trình viên có thể mắc phải trên trang đăng nhập, v.v. Một trong những lỗi phổ biến nhất là thiếu lệnh cấm tải xuống các thuật toán độc hại.
Điểm quan trọng là một trang web không an toàn trên lưu trữ công cộng là mối đe dọa cho toàn bộ máy chủ. Ngoài ra, việc cài đặt các dự án Mã nguồn mở như PHP-Nuke có thể có rủi ro. Một số lỗ hổng trong các dự án tương tự đã được phát hiện.
