Chinaz_com
5、对于相关函数的过滤,就像先前的include(),unlink,fopen()等等,只要你把你所要执行操作的变量指定好或者对相关字符过滤严密,我想这样也就无懈可击了。
服务器安全设置 Www^Chinaz^com
谈服务器安全设置,我觉得很不实际的,我们大多数人都用虚拟主机,对于php.ini怎么设,那个只有网管自己看着办了。不过我还是说下,
站.长.站
1、设置"safe_mode"为"on"
这对于广大空间商来说是一个伟大的选项,它能极大地改进PHP的安全性。
[中国站长站]
2、禁止"open_basedir" ,这个选项可以禁止指定目录之外的文件操作,还能有效地消除本地文件或者是远程文件被include()等函数的调用攻击。
[中国站长站]
3、expose_php设为off ,这样php不会在http文件头中泄露信息。
Www~Chinaz~com
4、设置"allow_url_fopen"为"off" 这个选项可以禁止远程文件功能,极力推荐 Chinaz_com
5、"log_errors"为"on" 错误日至得带上吧
Chinaz_com
6、对于"display_errors,register_globals"两项要视情况而定了,display_errors太消极了,错误全关,想调试脚本都不行。至于register_globals(全局变量)把它开起来,关了会很麻烦,现在大多数程序没它支持就别想用了。
Www.Chinaz.com
这些是最必要的设置。关于php服务器更高的安全设置是门学问,也就不在本文探讨范围内了。
中.国.站长站
这篇文章到这里就要结束了,也许你会说,你说的这些都是对开源的程序才有用,对那些zend加密的程序不就没办法可使了吗?其实,对安全来说,固其根本才是重要的吧,你再怎么加密难道逃得过黑盒测试?总有一天会被发现的吧。 中.国.站.长.站
限于篇幅也就到这里了,我们对于php程序安全也有了初步的探索。为广大读者朋友考虑,举的例子也算是很容易去理解地,当然前提是你得会点php,要不然又是看天书了(哇,不要看到这里才问我啥是php?)。整篇文章并不是黑客教学,而是为那些想在php安全上发展的初学者和php程序员写的。如果以后你又听到谁谁又发现什么漏洞了,再怎么变也就是那些基本的东西而已。我希望本文能为你们开阔下思路,更好的发展下去。嗜酒成痴剑亦狂,重燃你的php安全之火,带着对php的执着上路吧。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
