Česti hakerski napadi dokazuju da web sigurnost ostaje najvažnije pitanje za sve koji posluju na Internetu. Poslužitelji su najčešće meta ovih napada zbog podataka koje pohranjuju. Zbog toga je potrebno osigurati pouzdanu zaštitu poslužitelja.
Osiguravanje PHP-a na Apacheu
Pokrenite protokol "phpinfo ()" i provjerite redak naredbom "open_basedir". Ovom naredbom možete definirati osnovni direktorij za sve korisnike. Nakon postavljanja ove vrijednosti više neće moći otvoriti datoteke izvan ove korijenske mape ili njezinih poddirektorijuma, poput "C: / Windows".
Ako imate druge strukturne direktorije, definirajte ih kao osnovni direktorij naredbom "www_root". Međutim, jedan će korisnik također moći čitati i mijenjati datoteke drugog korisnika. To se mora spriječiti.
Nažalost, u datoteci php.ini ne postoje mogućnosti za sprečavanje jednog korisnika da pristupi tuđim podacima.
Ali postoji jedan zanimljiv način ako se PHP izvodi na Apacheu. U phpinfo () pronaći ćete dva stupca: Primarna vrijednost i Lokalna vrijednost. Prva je vrijednost u "php.ini". Druga je vrijednost koja se određuje dok poslužitelj radi.
Ako je glavna vrijednost u numeričkom smislu mala, tada se može promijeniti u skripti pomoću naredbe "ini_set ()". To se ne odnosi na "open_basedir", jer je ova vrijednost kritična za sigurnost i može je promijeniti samo administrator.
U Apacheu se konfiguracijska datoteka "httpd.conf" može navesti u priručniku pod lokalnom vrijednošću "open_basedir".
Ostale PHP postavke
Postavljanjem "disable_functions" u datoteci "php.ini", morate onemogućiti funkcije koje su potencijalno opasne.
Dobro razmislite o svakoj vašoj radnji. Onemogućavanje funkcije znači da će neke skripte prestati raditi.
Neke su značajke doista opasne i obično nisu potrebne za skriptiranje. Drugi će možda biti potrebni za određene svrhe. Stoga nije lako onemogućiti sve funkcije koje mogu biti opasne, ali i pažljivo izvagati svoje odluke.
Ne vjerujte da će biti dovoljna samo funkcija "safe_mode = On". Može onemogućiti neke korisne značajke i možda neće riješiti gore opisani sigurnosni problem. Siguran način zastario je u PHP 5.3.0, a uklonjen je u PHP 6.0.0.
Pitanja zaštite
Postoji nekoliko pogrešaka koje web programer može napraviti i čine web stranicu nesigurnom.
Na primjer, ako izradite svoj blog i dopustite korisnicima da prenose slike, to može predstavljati ozbiljnu opasnost kada kôd napiše početnik. Postoji nekoliko pogrešaka koje programer može napraviti na stranici za prijavu itd. Jedna od najčešćih je nepostojanje zabrane preuzimanja zlonamjernih algoritama.
Važno je da jedna nesigurna web lokacija na javnom hostingu prijeti cijelom poslužitelju. Također instaliranje projekata otvorenog koda poput PHP-Nukea može biti rizično. Već je otkriveno nekoliko ranjivosti u sličnim projektima.
