查看: 37|回复: 1

PHP中你必须要知道的一些东西(上)

[复制链接]
发表于 3 天前 | 显示全部楼层 |阅读模式
PHP中你必须要知道的一些东西(上)
走过路过千万不要错过,PHP经验大总结,有可能帮助的到你,即便是帮助不到你,那也能帮助到你的同事。让别人的经验总结变成你的阅历与知识,谁实话啊,在我充当大神给小白讲经验的时候,看着他们那崇拜的眼神,心情爽翻了哟。对于那些我实在是讲不透的小白,我也只能是忍痛舍弃他们崇拜的目光推荐他们去兄/弟连教育这种正规的培训机构,或者去学校亲身学习,或者去兄/弟连网站(w w、w。itxdl,cn)自己看视频学习,虽然我也喜欢充当人师,但也不能误人子弟,您说是不是?下面咱们进入正题。
PHP的安全是广大开发人员担心的主要问题。虽然PHP提供从里到外的可靠安全,但是需要由开发人员正确地落实这些安全机制。我们在本文中将为Linux管理员介绍几个PHP安全要点。这些要点将帮助你确保Web应用程序安全,并确保从长远来看正常运行。
1. 删除不必要的模块

PHP随带内置的PHP模块。它们对许多任务来说很有用,但是不是每个项目都需要它们。只要输入下面这个命令,就可以查看可用的PHP模块:

# php - m
一旦你查看了列表,现在可以删除不必要的模块。减少模块的数量有助于提高你所处理的Web应用程序的性能和安全。

2. 限制PHP信息泄露

平台泄露关键信息司空见惯。比如说,PHP会泄露一些信息,比如版本以及它安装到服务器上的事实。这可以通过expose_php命令来实现。为了防止泄露,你需要在
/etc/php.d/security.ini中将该命令设成off。

expose_php=Off
如果你需要了解版本及其状态,只要针对网站地址运行一个简单的Curl命令就可以获得该信息。
Curl - I
之前的命令会返回下列信息:
HTTP/1.1 200 OK
X-Powered-By: PHP/7.0.10
Content-type: text/html; charset=UTF-8
3. 禁用远程代码执行

远程代码执行是PHP安全系统方面的常见安全漏洞之一。默认情况下,远程代码执行在你的系统上已被启用。“allow_url_fopen”命令允许请求(require)、包括(include)或可识别URL的fopen包装器等函数可以直接访问PHP文件。远程访问通过使用HTTP或FTP协议来实现,会导致系统无力防御代码注入安全漏洞。

为了确保你的系统安全可靠、远离远程代码执行,你可以将该命令设成“Off”,如下所示:

Allow_url_fopen=Off
allow_url_include=Off
4. 将PHP错误记入日志

加强Web应用程序安全的另一个简单方法就是,不向访客显示错误。这将确保黑客根
本无法危及网站的安全性。需要在/etc/php.d/security.ini文件里面进行编辑。

display_errors=Off
现在你可能会想:完成这一步后,“开发人员在没有错误信息的帮助下如何调试?”开发人员可以使用log_errors命令来用于调试。他们只需要在security.ini文件中将log_errors命令设成“On”。

log_errors=On
error_log=/var/log/httpd/php_scripts_error.log

5. 合理控制资源

为了确保应用程序的安全,控制资源很重要。为了确保适当的执行和安全,你就要对PHP脚本执行予以限制。此外,还应该对花在解析请求数据上的时间予以限制。如果执行时间受到控制,脚本使用的内存等其他资源也应该会得到相应配置。所有这些度量指标可通过编辑security.ini文件来加以管理。

# set in seconds
max_execution_time = 25
max_input_time = 25
memory_limit = 30M

晕死,不小心字数写多了,需要分开发,但是又不好意思下篇只剩一个小尾巴,所以只好在中间断开了,别介意啊,喜欢的朋友请搜索下篇吧,想学习的朋友你可以跟我一样去兄/弟连的网站看看相关视频什么的,可以帮助我们查漏补缺嘛,毕业时间久了难免会忘记一些东西,咱们这技术活刀口可得常磨着点儿[兄/弟连177、1011、6169],要不然可就切不到肉吃了。如果视频看着不过瘾,那就去兄/弟连学校学,谁让他们要是这个不行,那就早饿死了呢,没饿着说明了有实力嘛。

点评

海`外直播网址 t.cn/RxBC0cw 禁闻视频 t.cn/RxlbueS 正常国家的新闻特点是:“因为没发生,所以不报导。”中国的新闻特点是:“因为不报导,所以没发生。” 看看真实的  发表于 前天 15:57
ChinaGDG.com
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2016 Comsenz Inc. All Rights Reserved. By Discuz! X3.2( 京ICP备05046727号-2 ) 本网站内容由华清远见维护,网站言论不代表谷歌官方。

扫描二维码关注我: week design 周末设计
确 认
快速回复 返回顶部 返回列表