定制安全的PHP环境
16lz
2021-01-22
(1)register_globals=OFF
(2)Open_basedir:可以限制PHP只能操作指定目录下的文件。在对抗文件包含、目录遍历等很有用,需要在目录最后加上一个/,否则会被认为是目录前缀。
(3)Allow_url_include=OFF对抗远程文件包含。此外allow_url_fopen=OFF
(4)Display_errors:错误回显,最好也设置为OFF
(5)Log_errors=ON。把错误记录在日志里,正好可以关闭错误回显。
(6)Magic_quotes_gpc=OFF(在注入攻击中可以绕过他,它的存在反而会衍生出一些新的安全问题,如XSS、SQL注入等)
(7)Cgi.fix_pathinfo=0(避免出现文件解析问题)
(8)Session_cookie_httponly=1(可防止cookie劫持)
(9)Session.cookie_secure=1(全站HTTPS开启此项)
(10)Safe_mode
(11)Disable_function:禁用函数
更多相关文章
- 上传文件时通过AJAX更新列表
- 使用mod_rewrite将文件夹转换为查询字符串
- PHP上传文件 Error 6解决方法
- 使用.php文件生成一个MySQL转储文件。
- PHP实现接口方法时出现致命错误
- thinkPHP5下扩展encryptedData解密算法文件的注意事项
- JSON解析错误:无法识别的标记'<'处于角度
- 如何加载json文件?
- 在提交注册表单时使用jQuery显示错误