Windows下PHP+MySQL+IIS安全平台III 变态配置
2009-01-15 13:51:23 来源:WEB开发网图1
第一个重要的参数是register_globals. 这个配置影响到php如何接收传递过来的参数,说白了register_globals的意思就是注册为全局变量,所以当该参数为值On的时候,传递过来的值会被直接的注册为全局变量直接使用,而当该参数值为Off的时候,我们需要到从特定的数组里去得到它。从www.milw0rm.com很多的php漏洞来看一大部分是因为Register_Globals为On的时候被利用的,所以强烈推荐将这个参数修改成Off,php目前的最高版中此参数都是默认是Off的,没啥说的了,如果你用的版本比较老的话一定要修改这里。
第二个重要的参数是magic_quotes_gpc。如果你把magic_quotes_gpc设置成了Off,那么php就不会对4种字符' (单引号), " (双引号), (反斜线) 和 空字符进行转义,那这样的话就会造成服务器可能会被非法注入的可能。但是如果你把Magic_quotes_gpc设置成On的话,php就会给$_POST,$_GET,$_COOKIE提交的变量中如果有上面四种字符的话就会加上反斜扛.这样就会大大地提高php的安全性。强烈推荐将Magic_quotes_gpc设置为On。
第三个比较重要的是display_errors。为什么说这个参数重要呢,因为没有不会犯错误的开发者,php的display_errors参数就是帮助开发者定位和确定这些错误的。可是如果php提供的这些信息被黑客了解到的话,这就不妙了。如图2所示为某国库的网站,因为对display_errors没有进行设置,导致web目录泄露。这对于黑客来说可是非常重要的信息,因为很多时候的渗透都需要知道web目录,例如webshell的写入等等。所以我们强烈推荐大家把这个参数设置成Off。
更多精彩
赞助商链接