Serversicherheitseinstellungen für Apache und PHP

Serversicherheitseinstellungen für Apache und PHP | Sicherheit 2025
Serversicherheitseinstellungen für Apache und PHP | Sicherheit 2025
Inhaltsverzeichnis
Einige Aufgaben, die ausgeführt werden müssen, um mehr Sicherheit zu geben und Probleme zu vermeiden, sind:
Deaktivieren Sie die Anzeige von Fehlern und Warnungen in PHP. Dies kann in der Programmierphase verwendet werden, um dem Entwickler zu helfen, die Fehler zu sehen und sie dann zu deaktivieren, wenn das Web in die Produktionsphase eintritt.
Alle Fehlermeldungen deaktivieren
Verwenden der folgenden Variablen in der php.ini:
error_reporting (0);
// Nur Ausführungsfehler melden
error_reporting (E_ERROR | E_WARNING | E_PARSE);
// Alle Fehler melden außer E_NOTICE
error_reporting (E_ALL ​​​​E_NOTICE);
// Alle PHP-Fehler melden (error_reporting (E_ALL);
Sie können auch aktiviert und deaktiviert werden, indem der Code an den Anfang der auszuführenden Seite gestellt wird.

Es ist immer wichtig, Fehler zu korrigieren und nicht zu verbergen, viele Entwickler verwenden error_reporting (0), um Fehler zu verbergen, aber diese sind immer noch da und könnten ausgenutzt werden. Wir müssen immer vermeiden, dass jeder Code, den wir entwickeln, Fehler enthält, sei es PHP, Javascript oder die von uns verwendete Sprache.
Es ist wichtig, die Variablen und die von ihnen eingegebenen Daten zu kontrollieren.
Ändern Sie die Dateierweiterung
Sie können die Erweiterung ändern, wenn Sie die Skripte in PHP aufrufen und ausführen, in Dateien mit einer HTML-Erweiterung.
In der Apache-Konfigurationsdatei (httpd.conf)
Wir suchen die Zeile:
AddType-Anwendung / x-httpd-php

Und wir fügen .htm und .html am Ende hinzu, es wäre wie folgt:
AddType-Anwendung / x-httpd-php .htm .html

Wir können auch eine benutzerdefinierte Erweiterung erstellen, um den Dateityp vor dem Besucher zu verbergen
AddType-Anwendung / x-httpd-php .bo .sol .tf
Dies ist aus Sicherheitsgründen sehr nützlich. Wir verbergen, dass die Anwendung programmiert ist, da Sie im Browser einfach .html oder die benutzerdefinierte Erweiterung in den Skripten sehen, die eigentlich PHP sind. Viele Websites verwenden diese Methode.
Stellen Sie sicher, dass register_globals inaktiv ist
Deaktivieren Sie register_globals und erlauben Sie nicht, Variablen im laufenden Betrieb zu erstellen, unter anderem mit:
register_globals = Aus

Von php.ini aus erzwingt dies, alle Variablen zu deklarieren, oder es wird ein Fehler ausgegeben.
Deaktivieren Sie Remote-URLs für Funktionen, die Dateien verarbeiten
Dies dient dazu, dass eine Datei auf unserem Server nicht ausgeführt oder von einem anderen aufgerufen werden kann, in der php.ini deaktivieren wir allow_url_fopen
allow_url_fopen = Aus

Beschränken Sie, in welchem ​​Verzeichnis PHP ein Skript oder einen Prozess lesen oder ausführen kann
open_basedir = /var/www/htdocs/midomino.com

Jede Domain kann ihre eigene php.ini ändern, wenn der Serveradministrator dies zulässt, obwohl dies selten vorkommt.
Deaktivieren Sie Apache HTTP TRACE
HTTP TRACE wird verwendet, um das Ergebnis der Anfrage an den Server zurückzugeben.
Es kann für Cross Site Scripting oder XSS-Angriffe verwendet werden, daher ist es am besten, es aus Sicherheitsgründen zu deaktivieren.
Wir ändern in / etc /httpd/conf/httpd.conf
TraceEnable aus
Apache ist einer der am weitesten verbreiteten Webserver und PHP ist die am häufigsten verwendete Sprache für die Webentwicklung. Mit diesen Konfigurationen und Tools können wir dazu beitragen, die Sicherheit unseres Webs gegen mögliche Angriffe zu erhöhen.
wave wave wave wave wave

Beliebte Beiträge

wave
1
post-title
PostgreSQL - Erste Schritte
2
post-title
So erstellen Sie eine virtuelle Windows 7-Maschine mit VMware
3
post-title
So verbessern Sie das E-Mail-Marketing
4
post-title
Bester RAM-Speicher für PC Gamer2021-2022
5
post-title
▷ So installieren Sie KVM auf Ubuntu 20.10 oder 20.04

Empfohlen

wave
- Sponsored Ad -

Tipp Der Redaktion

wave
- Sponsored Ad -