Índice
Algumas tarefas a serem realizadas para dar maior segurança e evitar problemas são:Desabilite a exibição de erros e avisos no php, isso pode ser usado na fase de programação para ajudar o desenvolvedor a ver os erros e depois desabilitá-lo quando a web entrar na fase de produção.
Desative todas as notificações de erro
Usando as seguintes variáveis no php.ini:
relatório_de_erro (0);// Reportar apenas erros de execução
relatório_erro (E_ERROR | E_WARNING | E_PARSE);// Reportar todos os erros exceto E_NOTICE
relatório_de_erro (E_ALL E_NOTICE);// Reportar todos os erros de PHP (error_reporting (E_ALL);
Eles também podem ser ativados e desativados colocando o código no início da página a ser executada.
É sempre importante corrigir e não esconder erros, muitos desenvolvedores usam error_reporting (0) para esconder erros, mas estes ainda estão lá e podem ser aproveitados, devemos sempre evitar que qualquer código que desenvolvemos tenha erros, seja php, javascript ou a linguagem que usamos.
É importante controlar as variáveis e quais dados elas inserem.
Alterar a extensão do arquivo
Você pode alterar a extensão ao invocar e executar os scripts em php, em arquivos com extensão html.
No arquivo de configuração do apache (httpd.conf)
Procuramos a linha:
Aplicativo AddType / x-httpd-php
E adicionamos .htm e .html ao final, seria o seguinte:
AddType application / x-httpd-php .htm .html
Também podemos criar uma extensão personalizada para ocultar o tipo de arquivo do visitante
AddType application / x-httpd-php .bo .sol .tfIsso é muito útil por motivos de segurança. Nós escondemos que o aplicativo está programado porque no navegador você verá apenas .html ou a extensão personalizada nos scripts que na verdade são php. Muitos sites usam esse método.
Verifique se register_globals está inativo
Desative register_globals e não permita a criação de variáveis em tempo real, entre outras coisas com:
register_globals = Off
A partir do php.ini, isso força a declaração de todas as variáveis ou apresentará um erro.
Desative URLs remotos para funções que lidam com arquivos
Isso serve para que um arquivo em nosso servidor não possa ser executado ou acessado de outro, no php.ini nós desativamos allow_url_fopen
allow_url_fopen = Off
Restringir em qual diretório o PHP pode ler ou executar qualquer script ou processo
open_basedir = /var/www/htdocs/midomino.com
Cada domínio pode modificar seu próprio php.ini se o administrador do servidor permitir, embora isso seja raro.
Desativar Apache HTTP TRACE
HTTP TRACE é usado para retornar o resultado da solicitação feita ao servidor.
Ele pode ser usado para ataques Cross Site Scripting ou XSS, portanto, é melhor desativá-lo por motivos de segurança.
Nós modificamos em / etc /httpd/conf/httpd.conf
TraceEnable desligado
Apache é um dos servidores web mais usados e php é a linguagem mais usada para desenvolvimento web, com essas configurações e ferramentas podemos ajudar a reforçar a segurança de nossa web contra possíveis ataques.