我想编写一个首先要进行一些检查的PHP应用程序,以确保最佳和安全的环境。我相信我一个人都无法想到一切,所以我错过了什么?
请回答任何更多的想法或上述任何一个不是一个好主意。我可能意识到缓存文件夹应该是每周运行一次的cron作业。
答案 0 :(得分:3)
您检查了PHPSecInfo吗?它应该做一些你应该注意的important PHP security-related configuration tests。
答案 1 :(得分:1)
添加到您的数据库用户检查 - 检查他们是否没有您不需要的危险事物的权限 - 例如DROP。
您可以在安装中检查的内容可能是提示用户在webroot上方上传应用程序逻辑。这完全不在袖口上,但您可以检查当前目录是否是文档根目录,然后您(脚本)是否可以访问上面的一个级别。我知道大多数共享托管都没有提供这个(幸运的是我有一个主机),但我认为应该尽可能地利用它。否则,请检查空白的index.html / php文件是否已放置在“不可访问”目录中以防止文件列出。
答案 2 :(得分:0)
检查启动时的php版本,还检查是否启用了魔术引号,默认情况下在早期版本中启用了这些引号。