只是想知道我应该知道哪些关于PHP托管的安全注意事项?
由于
答案 0 :(得分:4)
以下是一些事情:
eval,passthru,shell_exec等allow_url_fopen register_globals 不要忘记:
最后,根据Rook的建议,你应该运行:
PHPSecInfo 脚本,以查看主机的安全设置。
http://phpsec.org/projects/phpsecinfo/
适用于虚拟主机和开发团队
在开发环境中,请确保您具有适当的编码标准。如果您认为自己托管了未编写的不安全代码,请考虑安装Web应用程序防火墙。还要考虑防止暴力攻击的步骤(例如,如果您托管流行的CMS工具),像Fail2Ban这样的入侵防御系统可以帮助您实现此目的。本次演讲涵盖了很多这些问题Practical Web Security – Junade Ali,演讲视频为here。
对于PHP,您还可以考虑使用Suhosin,它为PHP核心添加了许多安全功能。首先要小心安装它,然后测试你的网站,以确保它不会破坏任何东西。
答案 1 :(得分:1)
如果你是开发人员(而不是主持人),那么不要依赖服务器 - 编写安全代码,任何php配置指令都不会对你造成伤害。
答案 2 :(得分:0)
客户端通常可以访问Perl,PHP和shell帐户,这使得客户端可以轻松地编写程序错误的所有其他客户端的DoS或拒绝服务。 整个托管服务上的外部DoS,这意味着如果IP正在经历DoS攻击,您也会遇到与其他人相同的问题。 通常,共享主机解决方案的客户端还与其他客户端共享IP地址。这种安排通常很好,但重要的是要知道,与你共享相同IP的邻居发生的任何事情也会发生在你身上。如果使用相同IP的邻居将被列入垃圾邮件黑名单,则使用该IP的其他所有人也将共享相同的命运。 它非常容易受到恶意软件攻击。 其他有害数据可以轻松上传到其他网站,从而使您的网站面临风险。这些可以通过合法客户网站的漏洞引入服务器,并可以用来窃取数据。 加载到服务器中的软件启动的DDoS攻击允许黑客控制整个托管服务器,然后攻击来自同一网络或其他网络的其他服务器。