小伙伴們新年好啊，又有半個月沒有更新博客了。更新也比較隨性，想起什么就寫點什么，方便和大家工作同學習總結。 最近和同事說起了PHP安全相關的問題，記錄下一些心得體會。 由於腳本語言和早期版本設計的諸多原因，php項目存在不少安全隱患。從配置選項來看，可以做如下的優化。 1.屏蔽PHP錯誤輸出 ...

在全球范圍來看，超過了80%的網站是使用php進行搭建的，由於腳本語言和早期版本設計的諸多原因，php項目存在不少安全隱患。從配置選項來看，可以做如下的優化。 1.屏蔽PHP錯誤輸出。 在/etc/php.ini(默認配置文件位置)，將如下配置值改為Off ...

0x01 簡介 首先來看一下有哪些文件包含函數： 有哪些偽協議： 0x02 詳細解讀 2.1 php://filter php://filter用於讀取源碼，php://input用於執行php代碼 2.2 file://協議 用於訪問本地文件系統，不受 ...

XSS跨站腳本 概念：惡意攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執行，從而達到惡意用戶的特殊目的。 危害： 盜取用戶COOKIE ...

php的默認配置文件在 /usr/local/apache2/conf/php.ini，通過為了使你的web更安全，我們需要對php.ini進行一些設置！ (1) 打開php的安全模式　　php的安全模式是個非常重要的內嵌的安全機制，能夠控制一些php中的函數，比如system ...

Linux下的Apache和PHP安全設置 PHP安全模式開啟，PHP5.3將不再有安全模式。 (1) safe_mode：以安全模式運行php; 在php.ini文件中使用如下 safe_mode = On (使用安全模式) safe_mode = Off (關閉安全 ...

1）禁止系統響應任何從外部/內部來的ping請求攻擊者一般首先通過ping命令檢測此主機或者IP是否處於活動狀態如果能夠ping通 某個主機或者IP，那么攻擊者就認為此系統處於活動狀態，繼而進行攻擊或破壞。如果沒有人能ping通機器並收到響應，那么就可以大大增強服務器的安全性，linux下 ...

核心總結：php-fpm/apache 進程所使用的用戶，不能是網站文件所有者。 凡是違背這個原則，則不符合最小權限原則。 根據生產環境不斷反饋，發現不斷有 php網站被掛木馬，絕大部分原因是因為權限設置不合理造成。因為服務器軟件，或是 php 程序中存在漏洞都是難免的，在這種情況下 ...