Français
Français
Dans le processus de développement et de fonctionnement et de maintenance PHP, garantissant que la configuration sécurisée de l'environnement PHP est une partie extrêmement importante. La fonction phpinfo () est un outil puissant fourni avec PHP. Il peut afficher en détail toutes les informations de configuration de l'environnement PHP actuel, y compris la version, les options de compilation, les modules d'extension, les variables d'environnement, les variables PHP et les informations d'en-tête HTTP. En affichant la sortie de contenu de Phpinfo (), nous pouvons nous aider à vérifier rapidement si les paramètres de sécurité de PHP sont raisonnables et parfaits.
Dans votre serveur ou un environnement local, créez un nouveau fichier PHP, tel que info.php, avec le contenu suivant:
<?php
phpinfo();
?>
Puis accès dans le navigateur:
http://gitbox.net/info.php
Vous verrez une page de configuration détaillée qui répertorie toutes les informations sur l'exécution de PHP.
Cette option contrôle si le message d'erreur s'affiche directement sur la page. L'environnement de production doit être arrêté pour empêcher la fuite des chemins de serveur et des informations de code.
display_errors => Off
S'il est activé, les informations de version PHP seront exposées sur l'en-tête HTTP, qui est facilement exploitée par les attaquants. Devrait être fermé.
expose_php => Off
La configuration historique de l'héritage enregistrera automatiquement la variable Get / Post / Cookie en tant que variable globale après avoir été activée, ce qui peut facilement provoquer des problèmes de sécurité et doit être désactivé.
register_globals => Off
Ces deux configurations impliquent d'autoriser l'accès aux fichiers via des URL et incluent des fichiers distants. Les environnements de production sont généralement fermés pour empêcher les attaques d'exécution de code distantes.
allow_url_fopen => Off
allow_url_include => Off
Restreindre les scripts PHP pour accéder uniquement aux répertoires spécifiés pour empêcher l'accès illégal du système de fichiers.
open_basedir => /var/www/html/
Lorsqu'ils sont activés, les scripts des clients ne peuvent pas accéder aux cookies via JavaScript, améliorant la protection.
session.cookie_httponly => On
La sortie du contenu via phpinfo () peut être:
Confirmez si la version PHP est la dernière version stable pour éviter les vulnérabilités connues.
Vérifiez si des extensions ou des modules dangereux sont chargés.
Vérifiez si les informations sensibles sont exposées dans la variable d'environnement.
En conjonction avec la configuration du serveur, vérifiez les restrictions d'accès aux fichiers de PHP.
Phpinfo () est un outil puissant pour vérifier rapidement les informations sur l'environnement PHP et la première étape de l'audit de sécurité. Bien que Phpinfo () lui-même ne possède pas de fonctions de sécurité, les informations obtenues via elles peuvent nous aider à découvrir des risques de sécurité dans la configuration en temps opportun et à éviter d'être exploités par des pirates. Assurez-vous de ne pas placer des pages contenant phpinfo () dans un environnement de réseau public ou assurer un contrôle d'accès strict.
