Les attaques de pirates fréquentes prouvent que la sécurité Web reste le problème le plus important pour toute personne faisant des affaires sur Internet. Les serveurs sont le plus souvent la cible de ces attaques en raison des informations qu'ils stockent. C'est pourquoi il est nécessaire d'assurer une protection fiable du serveur.
Sécuriser PHP sur Apache
Démarrez le protocole "phpinfo()" et vérifiez la ligne avec la commande "open_basedir". Avec cette commande, vous pouvez définir le répertoire de base pour tous les utilisateurs. Après avoir défini cette valeur, ils ne pourront plus ouvrir de fichiers en dehors de ce dossier racine ou de ses sous-répertoires tels que "C:\Windows".
Si vous avez d'autres répertoires structurels, définissez-les comme répertoire de base avec la commande "www_root". Cependant, un utilisateur pourra également lire et modifier les fichiers d'un autre utilisateur. Cela doit être évité.
Malheureusement, il n'y a pas d'options dans le fichier php.ini pour empêcher un utilisateur d'accéder aux données d'un autre.
Mais il existe un moyen intéressant si PHP s'exécute sur Apache. Dans phpinfo() vous trouverez deux colonnes: Primary Value et Local Value. Le premier est la valeur dans "php.ini". La seconde est une valeur qui est déterminée pendant l'exécution du serveur.
Si la valeur principale est petite en termes numériques, elle peut être modifiée dans le script à l'aide de la commande "ini_set ()". Cela ne s'applique pas à "open_basedir" car cette valeur est critique pour la sécurité et ne peut être modifiée que par un administrateur.
Dans Apache, le fichier de configuration "httpd.conf" peut être spécifié dans le manuel sous la valeur locale "open_basedir".
Autres paramètres PHP
En définissant "disable_functions" dans le fichier "php.ini", vous devez désactiver les fonctions potentiellement dangereuses.
Réfléchissez bien à chaque action que vous entreprenez. La désactivation de la fonction signifie que certains scripts cesseront de fonctionner.
Certaines fonctionnalités sont vraiment dangereuses et ne sont généralement pas nécessaires pour les scripts. D'autres peuvent être nécessaires à des fins spécifiques. Par conséquent, il n'est pas facile de désactiver toutes les fonctions pouvant être dangereuses, mais également de bien peser vos décisions.
Ne croyez pas que la fonction "safe_mode = On" suffira à elle seule. Cela peut désactiver certaines fonctionnalités utiles et ne pas résoudre le problème de sécurité décrit ci-dessus. Le mode sans échec est déprécié dans PHP 5.3.0 et supprimé dans PHP 6.0.0.
Problèmes de protection
Un développeur Web peut commettre plusieurs erreurs et rendre un site Web non sécurisé.
Par exemple, si vous créez votre blog et autorisez les utilisateurs à télécharger des images, cela peut être un grave danger lorsque le code est écrit par un débutant. Il existe plusieurs erreurs qu'un programmeur peut commettre sur la page de connexion, etc. L'une des plus courantes est l'absence d'interdiction de télécharger des algorithmes malveillants.
Le point important est qu'un site non sécurisé sur un hébergement public constitue une menace pour l'ensemble du serveur. L'installation de projets Open Source comme PHP-Nuke peut également être risquée. Plusieurs vulnérabilités dans des projets similaires ont déjà été découvertes.
