php.ini – Σημαντικές Ρυθμίσεις Ασφαλείας

By | 15/02/2012

Το php.ini είναι ένα αρχείο ρυθμίσεων που ελέγχει διάφορες σημαντικές ρυθμίσεις της PHP.

Οι παρακάτω ρυθμίσεις θα σας βοηθήσουν να αυξήσετε την ασφάλεια της ιστοσελίδας σας.

Αρχείο php.ini, τί είναι;

Κάθε φορά που ένας επισκέπτης έρχεται στο php site σας, ο διερμηνέας PHP (php interpreter) διαβάζει το αρχείο php.ini στο server σας και συμπεριφέρεται αντίστοιχα, έτσι με το αρχείο php.ini μπορείτε να αλλάξετε το πως θα εκτελείται η PHP στο server σας.

Aσφάλεια με ρυθμίσεις στο php.ini σας

Το php.ini είναι ένα καλό σημείο εκκίνησης για την ασφάλεια στο server σας αν και υπάρχουν και άλλα αρχεία στα οποία μπορείτε να επέμβετε για  πρόληψη κακόβουλων επιθέσεων στο site σας, όπως το .htaccess και το globals.php.
Μερικές επεκτάσεις της PHP μπορεί να σταματήσουν να λειτουργούν με τις προτεινόμενες ρυθμίσεις, έτσι θα πρέπει να ξαναδείτε εάν όντως χρειάζεστε αυτές τις επεκτάσεις, που βασίζονται σε ανασφαλείς ρυθμίσεις.

1. magic_quotes_gpc

Η προεπιλεγμένη επιλογή είναι ενεργοποιημένη και δε θα πρέπει να την απενεργοποιήσετε. Προσβλέπει στην αποφυγή αποστολής μεταβλητών στη βάση δεδομένων που μπορεί να στείλουν κακόβουλα scripts. Στην PHP 6 η επιλογή έχει αφαιρεθεί.

2. allow_url_fopen = off

Όταν είναι ενεργοποιημένο,  τότε απομακρυσμένα αρχεία θα αντιμετωπιστούν σαν να ήταν τοπικά αρχεία στον server, αφήνοντας κάποιο ανοιχτό χώρο για κακόβουλες επιθέσεις.

3. register_globals = off (or = 0)

Αν αυτή η επιλογή είναι ενεργοποιημένη, ένας κακόβουλος χρήστης θα μπορούσε να εισάγει μερικές μεταβλητές μέσα από μια HTML φόρμα και να επιτεθεί στην ιστοσελίδα. Στην PHP 5 η επιλογή αυτή είναι απενεργοποιημένη, ενώ στην PHP 6 έχει αφαιρεθεί.

4. expose_php = off

Η προεπιλεγμένη επιλογή είναι ενεργοποιημένη. Η ρύθμιση αποτρέπει τους κακόβουλους χρήστες από το να δουν ποια έκδοση της PHP χρησιμοποιείτε καθώς και τις PHP επεκτάσεις, έτσι απενεργοποιώντας το μειώνετε τις διαθέσιμες πληροφορίες.

5. session.use_trans_sid = off

Αποτρέπει ή τουλάχιστον μειώνει την πιθανότητα μιας επίθεσης με χρήση sessions.

6. safe_mode = off

Η προεπιλεγμένη επιλογή είναι απενεργοποιημένη και δεν πρέπει να την ενεργοποιήσετε, γιατί κάποιες βασικές λειτουργίες θα απενεργοποιηθούν [chmod(), exec(), system() και άλλες]. Στην PHP 6 η επιλογή αφαιρέθηκε.

 

 

[notice] Στο Shared Hosting, δε μπορείτε να αλλάξετε το php.ini αλλά μπορείτε να ελέγξετε  κάποιες μεταβλητές της PHP μπορείτε να ρυθμίσετε μέσω .htaccess.[/notice]

Αφήστε μια απάντηση

Η ηλ. διεύθυνσή σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *