小伙伴们新年好啊，又有半个月没有更新博客了。更新也比较随性，想起什么就写点什么，方便和大家工作同学习总结。 最近和同事说起了PHP安全相关的问题，记录下一些心得体会。 由于脚本语言和早期版本设计的诸多原因，php项目存在不少安全隐患。从配置选项来看，可以做如下的优化。 1.屏蔽PHP错误输出 ...

在全球范围来看，超过了80%的网站是使用php进行搭建的，由于脚本语言和早期版本设计的诸多原因，php项目存在不少安全隐患。从配置选项来看，可以做如下的优化。 1.屏蔽PHP错误输出。 在/etc/php.ini(默认配置文件位置)，将如下配置值改为Off ...

0x01 简介 首先来看一下有哪些文件包含函数： 有哪些伪协议： 0x02 详细解读 2.1 php://filter php://filter用于读取源码，php://input用于执行php代码 2.2 file://协议 用于访问本地文件系统，不受 ...

XSS跨站脚本 概念：恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。 危害： 盗取用户COOKIE ...

php的默认配置文件在 /usr/local/apache2/conf/php.ini，通过为了使你的web更安全，我们需要对php.ini进行一些设置！ (1) 打开php的安全模式　　php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system ...

Linux下的Apache和PHP安全设置 PHP安全模式开启，PHP5.3将不再有安全模式。 (1) safe_mode：以安全模式运行php; 在php.ini文件中使用如下 safe_mode = On (使用安全模式) safe_mode = Off (关闭安全 ...

1）禁止系统响应任何从外部/内部来的ping请求攻击者一般首先通过ping命令检测此主机或者IP是否处于活动状态如果能够ping通 某个主机或者IP，那么攻击者就认为此系统处于活动状态，继而进行攻击或破坏。如果没有人能ping通机器并收到响应，那么就可以大大增强服务器的安全性，linux下 ...

核心总结：php-fpm/apache 进程所使用的用户，不能是网站文件所有者。 凡是违背这个原则，则不符合最小权限原则。 根据生产环境不断反馈，发现不断有 php网站被挂木马，绝大部分原因是因为权限设置不合理造成。因为服务器软件，或是 php 程序中存在漏洞都是难免的，在这种情况下 ...