Версия для печати. Взято с сайта phpsql.ru

На главную   Назад   Вперед

Рекомендованные значения параметров РНР

Из соображений безопасности для большей защиты вашего сервера рекомендуется установить следующие значения для следующих директив (в главе 2 объясняется, как установить их):

• register_globals = off. См. выше.

• safe__mode=off. На самом деле этот параметр не помогает ничего обезопасить.

• error_reporting=off. При включенной директиве error_reporting сообщения об ошибках передаются в браузер, что может предоставить злоумышленнику дополнительную информацию о вашей системе. Поэтому вместо вывода ошибок лучше использовать их протоколирование (см. #11).

• Отключите следующие функции: system (), exec (), passthru(), shell_exec(), proc_open() и popen(), см. #17.

• Параметру open_basediг нужно передать два каталога - корневой каталог Web-сервера и каталог /tmp (для хранения временной информации сессии).

• expose_php = off. Эта функция добавляет PHP-подпись, содержащую версию РНР, в заголовки Apache. Не нужно этого делать! • allow__url_open=off. Нет никакой надобности обращаться к файлам по HTTP.

В общем, если вы найдете код, который подразумевает использование этих функций, вы должны доверять ему. Будьте особенно осторожным и с кодом, касающимся функции system() - почти всегда это вредоносный код.

Теперь рассмотрим некоторые специфические атаки и методы, позволяющие им противостоять.

 
Предыдущая   На главную   Следующая