I frequenti attacchi di hacker dimostrano che la sicurezza web rimane il problema più importante per chiunque faccia affari su Internet. I server sono spesso gli obiettivi di questi attacchi a causa delle informazioni che memorizzano. Ecco perché è necessario garantire una protezione affidabile del server.
Proteggere PHP su Apache
Avvia il protocollo "phpinfo()" e controlla la riga con il comando "open_basedir". Con questo comando puoi definire la directory di base per tutti gli utenti. Dopo aver impostato questo valore, non saranno più in grado di aprire file al di fuori di questa cartella principale o delle sue sottodirectory come "C: / Windows".
Se si dispone di altre directory strutturali, definirle come directory di base con il comando "www_root". Tuttavia, un utente sarà anche in grado di leggere e modificare i file di un altro utente. Questo deve essere prevenuto.
Sfortunatamente, non ci sono opzioni nel file php.ini per impedire a un utente di accedere ai dati di un altro.
Ma c'è un modo interessante se PHP è in esecuzione su Apache. In phpinfo() troverai due colonne: Valore primario e Valore locale. Il primo è il valore in "php.ini". Il secondo è un valore che viene determinato mentre il server è in esecuzione.
Se il valore principale è piccolo in termini numerici, può essere modificato nello script utilizzando il comando "ini_set()". Questo non si applica a "open_basedir" perché questo valore è critico per la sicurezza e può essere modificato solo da un amministratore.
In Apache, il file di configurazione "httpd.conf" può essere specificato nel manuale sotto il valore locale "open_basedir".
Altre impostazioni PHP
Impostando "disable_functions" nel file "php.ini", devi disabilitare le funzioni potenzialmente pericolose.
Pensa attentamente a ogni azione che intraprendi. Disabilitare la funzione significa che alcuni script smetteranno di funzionare.
Alcune funzionalità sono davvero pericolose e di solito non sono necessarie per lo scripting. Altri potrebbero essere necessari per scopi specifici. Pertanto, non è facile disabilitare tutte le funzioni che potrebbero essere pericolose, ma anche valutare attentamente le tue decisioni.
Non credere che la sola funzione "safe_mode = On" sia sufficiente. Potrebbe disabilitare alcune funzioni utili e potrebbe non risolvere il problema di sicurezza sopra descritto. La modalità provvisoria è deprecata in PHP 5.3.0 e viene rimossa in PHP 6.0.0.
Problemi di protezione
Ci sono diversi errori che uno sviluppatore web può fare e rendere insicuro un sito web.
Ad esempio, se crei il tuo blog e permetti agli utenti di caricare immagini, questo può essere un serio pericolo quando il codice è scritto da un principiante. Esistono diversi errori che un programmatore può commettere nella pagina di accesso, ecc. Uno dei più comuni è la mancanza di un divieto di download di algoritmi dannosi.
Il punto importante è che un sito non sicuro su hosting pubblico è una minaccia per l'intero server. Anche l'installazione di progetti Open Source come PHP-Nuke può essere rischiosa. Sono già state scoperte diverse vulnerabilità in progetti simili.
