哪些攻击可以利用php.ini的HTTP输入指令?

时间:2016-01-08 14:23:58

标签: php security

除了明显的那些,例如max_input_timepost_max_size。例如,无限max_input_vars可以成为攻击的载体吗?

我是否应该关注限制upload_max_filesizemax_file_uploads,因为我已经设置post_max_size了?

以下哪项设置对减轻攻击企图非常重要?

  • max_input_nesting_level
  • max_input_vars - 防止哈希冲突攻击?
  • upload_max_filesize
  • max_file_uploads

1 个答案:

答案 0 :(得分:1)

max_input_vars是为了缓解Hash-DoS而创建的。如果将其设置为无限制,则人们会发送大量请求,要求您的服务器处理时间非常长,从而阻止合法流量通过。

这里没有其他实际目的。

要考虑的主要问题(涉及PHP中的文件上传安全性)是what your code actually does with uploaded files

更一般地说,php.ini is not the alpha and omega of PHP security。如果您担心被黑客入侵,那不是您应该尝试强化应用程序的第一位。从代码的工作开始。

相关问题
最新问题