Per proteggere un'installazione PHP, quali sono le impostazioni migliori per un file php.ini? Cosa è assolutamente vitale in termini di sicurezza? Cosa è raccomandato per la maggior parte dei casi d'uso?
Per proteggere un'installazione PHP, quali sono le impostazioni migliori per un file php.ini? Cosa è assolutamente vitale in termini di sicurezza? Cosa è raccomandato per la maggior parte dei casi d'uso?
Trovo che un buon passo per rafforzare il tuo file php.ini sia quello di utilizzare lo strumento PHPSecInfo , questo strumento descriverà quali impostazioni hai attualmente nel tuo php.ini che potrebbero causare un rischio per la sicurezza. Oltre a utilizzare questo strumento, dai un occhiata a questo articolo su Hardening PHP da php.ini che è buono e riprende la maggior parte di le maggiori preoccupazioni.
Personalmente le due cose principali che cerco sempre di essere configurate correttamente sono:
Un altro hardening php.ini potrebbe essere la limitazione delle risorse, come descritto nel file di configurazione stesso "Limiti di risorse". In generale, dipende dalla tua applicazione web quali limiti devono essere impostati. Come so, ad esempio, per l'installazione di Wordpress la memoria 32M memory_limit non è sufficiente. Altre applicazioni richiedono più tempo per eseguire max_execution_time . Inoltre, desideri ridurre il tempo massimo consentito per il trasferimento dei dati max_input_time . La dimensione massima dei POST può anche essere limitata a post_max_size . Tutte le configurazioni sopra menzionate generalmente aiuteranno ad evitare le condizioni DoS.
Circa maqic_quotes_gpc , è abbastanza fastidioso e da PHP5.4 è stato rimosso. Gli sviluppatori spesso rimuovono automaticamente le barre rilevando questa impostazione.
Leggi altre domande sui tag php web-application appsec hardening