Deutsch
Deutsch
Im PHP -Entwicklungs- und Betriebs- und Wartungsprozess ist die Gewährleistung der sicheren Konfiguration der PHP -Umgebung ein äußerst wichtiger Teil. Die Funktion phpinfo () ist ein leistungsstarkes Werkzeug, das mit PHP geliefert wird. Es kann alle Konfigurationsinformationen der aktuellen PHP -Umgebung im Detail angezeigt, einschließlich Version, Kompilierungsoptionen, Erweiterungsmodule, Umgebungsvariablen, PHP -Variablen und HTTP -Headerinformationen. Indem wir die Inhaltsausgabe von PHPInFO () anzeigen, können wir uns schnell überprüfen, ob die Sicherheitseinstellungen von PHP angemessen und perfekt sind.
Erstellen Sie in Ihrem Server oder Ihrer lokalen Umgebung eine neue PHP -Datei wie info.php mit folgenden Inhalten:
<?php
phpinfo();
?>
Dann zugreifen Sie im Browser:
http://gitbox.net/info.php
Sie sehen eine detaillierte Konfigurationsseite, auf der alle Informationen zur PHP -Laufzeit aufgeführt sind.
Diese Option steuert, ob die Fehlermeldung direkt auf der Seite angezeigt wird. Die Produktionsumgebung sollte geschlossen werden, um das Leck von Serverpfaden und Codeinformationen zu verhindern.
display_errors => Off
Wenn es aktiviert ist, werden die PHP -Versionsinformationen am HTTP -Header aufgedeckt, der von Angreifern leicht ausgenutzt werden kann. Sollte geschlossen sein.
expose_php => Off
Die historische Legacy -Konfiguration registriert automatisch die GET/Post/Cookie -Variable als globale Variable nach dem Einschalten, was leicht Sicherheitsprobleme verursachen kann und ausgeschaltet werden sollte.
register_globals => Off
Diese beiden Konfigurationen umfassen, ob der Zugriff auf Dateien über URLs und Remotedateien einbezogen werden soll. Produktionsumgebungen werden normalerweise geschlossen, um Angriffe mit Remote -Codeausführung zu verhindern.
allow_url_fopen => Off
allow_url_include => Off
Beschränken Sie PHP -Skripte auf nur angegebene Verzeichnisse, um den illegalen Zugriff des Dateisystems zu verhindern.
open_basedir => /var/www/html/
Wenn es aktiviert ist, können Client -Skripte nicht über JavaScript auf Cookies zugreifen und den Schutz verbessern.
session.cookie_httponly => On
Der Inhaltsausgang über phpinfo () kann sein:
Bestätigen Sie, ob die PHP -Version die neueste stabile Version ist, um bekannte Schwachstellen zu verhindern.
Überprüfen Sie, ob unsichere Erweiterungen oder Module geladen sind.
Überprüfen Sie, ob sensible Informationen in der Umgebungsvariablen ausgesetzt sind.
Überprüfen Sie in Verbindung mit der Serverkonfiguration die Einschränkungen des PHP -Dateizugriffs.
PHPINFO () ist ein leistungsstarkes Tool zur schnellen Überprüfung der PHP -Umgebungsinformationen und des ersten Schritts bei der Sicherheitsprüfung. Obwohl Phpinfo () selbst keine Sicherheitsfunktionen hat, können die durch sie erhaltenen Informationen uns dabei helfen, Sicherheitsrisiken in der Konfiguration rechtzeitig zu ermitteln und zu vermeiden, dass Hacker ausgenutzt werden. Stellen Sie sicher, dass Sie keine Seiten mit Phpinfo () in eine öffentliche Netzwerkumgebung aufnehmen oder strenge Zugangskontrolle sicherstellen.
