编写PHP的安全策略

时间:2010-01-18 08:58:34   来源:第二电脑网  作者:第二电脑网

  第二电脑网导读:erver,AOLserver,Netscape Enterprise 等等。      PHP是一种功能强大的语言和解释器,无论是作为模块方式包含到web服务器里安装的还是作为单独的CGI程序程序安装的,都能访问文件、执行命令或者在服务器上打开链接。而这些特性都使得PHP运行时带来安全问题。虽然PH P是特意设计成一种比用Perl或C语言所编写的CGI程序要安全的语言,但正确使用编译时和运...
  正文:

PHP最初是被称作Personal Home Page,后来随着PHP成为一种非常流行的脚本语言,名称也随之改变了,叫做Professional HyperText PreProcessor。以PHP4.2为例支持它的WEB服务器有:apache, Microsoft Internet information Sereve, Microsoft Personal web Server,AOLserver,Netscape Enterprise 等等。
  
  PHP是一种功能强大的语言和解释器,无论是作为模块方式包含到web服务器里安装的还是作为单独的CGI程序程序安装的,都能访问文件、执行命令或者在服务器上打开链接。而这些特性都使得PHP运行时带来安全问题。虽然PH P是特意设计成一种比用Perl或C语言所编写的CGI程序要安全的语言,但正确使用编译时和运行中的一些配置选项以及恰当的应用编码将会保证其运行的安全性。
  
  一、安全从开始编译PHP开始。
  
  在编译PHP之前,首先确保操作系统的版本是最新的,必要的补丁程序必须安装过。另外使用编译的PHP也应当是最新的版本,关于PHP的安全漏洞也常有发现,请使用最新版本,如果已经安装过PHP请升级为最新版本:4.2.3
  
  相关链接:http://security.e-matters.de/advisories/012002.html
  
  安装编译PHP过程中要注意的3个问题:
  
  1、只容许CGI文件从特定的目录下执行:首先把处理CGI脚本的默认句柄删除,然后在要执行CGI脚本的目录在http.conf 文件中加入ScriptAlias指令。
  
  #Addhadler cgi-script .cgi
  
  
  ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"
  
  <Directory "/usr/local/apache/cgi-bin'>
  
  AllowOverride None
  
  Options None
  
  Order allow,deny
  
  Allow from all
  
  </Directory>
  
  
  <Directory "/home/*/public_html/cgi-bin">
  
  AllowOverride None
  
  Options ExecCGI
  
  Order allow,deny
  
  Allow from all
  
  </Directory>
  
  
  
  
  SriptAlias的第一个参数指明在Web中的可用相对路径,第二个参数指明脚本放在服务器的目录。应该对每个目录
  
  别名都用Directory,这样可使得除系统管理员之外的人不知道Web服务器上CGI脚本的清单。
  
  Directory允许用户创建自己的CGI脚本。也可用SriptAliasMatch,但Directory更容易使用。 允许用户创建自己
  
  CGI脚本可能会导致安全问题,你可能不希望用户创建自己的CGI。 Apache默认配置是注释掉cgi—script的处理句柄,但有/cgi-bin目录使用SriptAlias和Directory指令。 你也可禁止CGI执行,但仍允许执行PHP脚本。
  
  2.把PHP解析器放在web目录外
  
  把PHP解析器放在Web目录树外是非常重要的做法。这样可以防止web服务器对PHP的解析器的滥用。特别是
  
  不要把PHP解析器放在cgi-bin或允许执行CGI程序的目录下。然而,使用Action解析脚本是不可能的,因为用Action指令时,PHP解析器大多数要放在能够执行CGI的目录下只有当PHP脚本作为CGI程序执行时,才能把PHP解析器放在Web目录树之外。
  
  如果希望PHP脚本作为CGI程序执行(这们可以把PHP解析器放在Web目录树之外),可以这样:
  
  ( 1)所有的PHP脚本必须位于能执行CGI程序的目录里。
  
  ( 2)脚本必须是可执行的(仅在UNIX/linux机器里)。
  
  (3)脚本必须在文件头包括PHP解析器的路径。
  
  你可用下面命令使PHP脚本为可执行:
  
  #chmod +x test.php4
  
  
  这样使在当前目录下的文件名为test.PhP4的脚本变为可执行。 下面是一个能作为CGI程序运行的PHP脚的小例子。
来源:http://www.002pc.com/master/College/Programming/PHP/12000.html

 1/5    1 2 3 4 5 下一页 尾页
收藏到:

关于《编写PHP的安全策略》文章的评论

共有 0 位网友发表了评论 此处只显示部分留言 点击查看完整评论页面

随机文章

    SQL Error: select * from ***_ecms_article where classid='86' and checked=1 order by rand() limit 10

顶出来的热门

    SQL Error: select * from ***_ecms_article where classid='86' and checked=1 order by diggtop desc,id desc limit 10
站内搜索: 高级搜索

热门搜索: Windows style 系统 tr IP QQ CPU 安装 function 注册 if td