PHP是种功能强大语言和解释器无论是作为模块方式包含到web服务器里安装还是作为单独CGI安装都能访问文件、执行命令或者在服务器上打开链接而这些特性都使得PHP运行时带来安全问题虽然PHP是特意设计成种比用Perl或C语言所编写CGI要安全语言但正确使用编译时和运行中些配置选项以及恰当应用编码将会保证其运行安全性
、安全从开始编译PHP开始
在编译PHP的前首先确保操作系统版本是最新必要补丁必须安装过另外使用编译PHP也应当是最新版本有关PHP安全漏洞也常有发现请使用最新版本如果已经安装过PHP请升级为最新版本:4.2.3
相关链接:http://security.e-matters.de/advisories/012002.html
安装编译PHP过程中要注意3个问题:
1、只容许CGI文件从特定目录下执行:首先把处理CGI脚本默认句柄删除然后在要执行CGI脚本目录在http.conf 文件中加入ScriptAlias指令
#Addhadler cgi-script .cgi
ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"
<Directory "/usr/local/apache/cgi-bin'>
AllowOverride None
Options None
Order allow,deny
Allow from all
</Directory>
<Directory "/home/*/public_html/cgi-bin">
AllowOverride None
Options ExecCGI
Order allow,deny
Allow from all
</Directory>
SriptAlias第个参数指明在Web中可用相对路径第 2个参数指明脚本放在服务器目录应该对每个目录
别名都用Directory这样可使得除系统管理员的外人不知道Web服务器上CGI脚本清单
Directory允许用户创建自己CGI脚本也可用SriptAliasMatch但Directory更容易使用 允许用户创建自己
CGI脚本可能会导致安全问题你可能不希望用户创建自己CGI Apache默认配置是注释掉cgi—script处理句柄但有/cgi-bin目录使用SriptAlias和Directory指令 你也可禁止CGI执行但仍允许执行PHP脚本
2.把PHP解析器放在web目录外
把PHP解析器放在Web目录树外是非常重要做法这样可以防止web服务器对PHP解析器滥用特别是
不要把PHP解析器放在cgi-bin或允许执行CGI目录下然而使用Action解析脚本是不可能用Action指令时PHP解析器大多数要放在能够执行CGI目录下只有当PHP脚本作为CGI执行时才能把PHP解析器放在Web目录树的外
如果希望PHP脚本作为CGI执行(这们可以把PHP解析器放在Web目录树的外)可以这样:
( 1)所有PHP脚本必须位于能执行CGI目录里
( 2)脚本必须是可执行(仅在UNIX/Linux机器里)
(3)脚本必须在文件头包括PHP解析器路径
你可用下面命令使PHP脚本为可执行:
#chmod +x test.php4
这样使在当前目录下文件名为test.PhP4脚本变为可执行 下面是个能作为CGI运行PHP脚小例子
#!/usr/local/bin/php
echo "This is a my small cgi program”
3. 按Apache模块方式安装:
当将PHP作为Apache模块使用时它将继承Apche用户权限(般情况下用户为“nobody”)这点对于安全性和验证有不少影响例如使用PHP访问数据库除非数据库支持内建访问控制将不得不设置数据库对于用户“nobody”可访问权限这将意味着恶意脚本在没有访问用户名和密码也能访问并修改数据库通过Apache验证来保护数据不被暴露或者也可使用LDAP、.htaccess文件等设计自己访问控制模型并在PHP脚本中将此代码作为其中部分引入 通常旦安全性建立此处PHP用户(此情形即Apache用户)
最新评论