Serangan penggodam yang kerap membuktikan bahawa keselamatan web tetap menjadi masalah terpenting bagi sesiapa sahaja yang menjalankan perniagaan di Internet. Pelayan selalunya menjadi sasaran serangan ini kerana maklumat yang mereka simpan. Itulah sebabnya mengapa perlu memastikan perlindungan pelayan yang boleh dipercayai.
Menjamin PHP di Apache
Mulakan protokol "phpinfo ()" dan periksa barisnya dengan perintah "open_basedir". Dengan perintah ini, anda dapat menentukan direktori asas untuk semua pengguna. Setelah menetapkan nilai ini, mereka tidak lagi dapat membuka fail di luar folder root ini atau subdirektorinya seperti "C: / Windows".
Sekiranya anda mempunyai direktori struktur lain, tetapkan sebagai direktori asas dengan arahan "www_root". Walau bagaimanapun, satu pengguna juga dapat membaca dan mengubah fail pengguna lain. Perkara ini mesti dicegah.
Sayangnya, tidak ada pilihan dalam fail php.ini untuk menghalang satu pengguna mengakses data orang lain.
Tetapi ada satu cara menarik jika PHP dijalankan di Apache. Di phpinfo () anda akan menemui dua lajur: Nilai Utama dan Nilai Tempatan. Yang pertama adalah nilai dalam "php.ini". Yang kedua adalah nilai yang ditentukan semasa pelayan sedang berjalan.
Sekiranya nilai utamanya kecil dari segi angka, maka dapat diubah dalam skrip menggunakan perintah "ini_set ()". Ini tidak berlaku untuk "open_basedir" kerana nilai ini penting untuk keselamatan dan hanya boleh diubah oleh pentadbir.
Di Apache, fail konfigurasi "httpd.conf" dapat ditentukan dalam manual di bawah nilai tempatan "open_basedir".
Tetapan PHP lain
Dengan menetapkan "disable_functions" dalam fail "php.ini", anda mesti mematikan fungsi yang berpotensi berbahaya.
Fikirkan dengan teliti setiap tindakan yang anda lakukan. Melumpuhkan fungsi bermaksud beberapa skrip akan berhenti berfungsi.
Beberapa ciri sangat berbahaya dan biasanya tidak diperlukan untuk membuat skrip. Yang lain mungkin diperlukan untuk tujuan tertentu. Oleh itu, tidak mudah untuk mematikan semua fungsi yang mungkin berbahaya, tetapi juga mempertimbangkan keputusan anda dengan teliti.
Jangan percaya bahawa fungsi "safe_mode = On" sahaja akan mencukupi. Ini mungkin melumpuhkan beberapa ciri berguna dan mungkin tidak menyelesaikan masalah keselamatan yang dijelaskan di atas. Mod selamat tidak digunakan lagi dalam PHP 5.3.0 dan dikeluarkan di PHP 6.0.0.
Masalah perlindungan
Terdapat beberapa kesalahan yang boleh dilakukan oleh pembangun web dan menjadikan laman web tidak selamat.
Contohnya, jika anda membuat blog anda dan membenarkan pengguna memuat naik gambar, ini boleh menjadi bahaya serius apabila kod tersebut ditulis oleh seorang pemula. Terdapat beberapa kesalahan yang dapat dilakukan oleh pengaturcara di halaman log masuk, dll. Salah satu yang paling umum adalah kurangnya larangan memuat turun algoritma berbahaya.
Perkara penting adalah bahawa satu laman web yang tidak selamat di hosting awam adalah ancaman kepada seluruh pelayan. Memasang projek Open Source seperti PHP-Nuke juga berisiko. Beberapa kelemahan dalam projek serupa telah ditemui.
