Linux-PHP安全要点

Linux-PHP安全要点

我在本文中将为Linux管理员介绍几个PHP安全要点。这些要点将帮助你确保Web应用程序安全，能来看正常运行。

下面是我环境的配置路径：

默认的Web服务器：Apache

DocumentRoot：/var/www/html

PHP配置文件：/etc/php.ini

扩展配置目录：/etc/php.d/

安全文件：/etc/php.d/security.ini

这些技巧将保护你的网站，避免不同类型的常见攻击，比如SQL注入、XSS、跨站请求伪造攻击、eval()和文件上传等攻击。可在此(https://www.sitepoint.com/top-10-php-security-vulnerabilities/)查看常见攻击列表。

1. 删除不必要的模块

PHP随带内置的PHP模块。它们对许多任务来说很有用，但是不是每个项目都需要它们。只要输入下面这个命令，就可以查看可用的PHP模块：

php - m

一旦你查看了列表，现在可以删除不必要的模块。减少模块的数量有助于提高你所处理的Web应用程序的性能和安全。

2. 限制PHP信息泄露

平台泄露关键信息司空见惯。比如说，PHP会泄露一些信息，比如版本以及它安装到服务器上的事实。这可以通过expose_php命令来实现。为了防止泄露，你需要在/etc/php.d/security.ini中将该命令设成off。

expose_php=Off

如果你需要了解版本及其状态，只要针对网站地址运行一个简单的Curl命令就可以获得该信息。

Curl - I http://www.livecoding.tv/index.php

之前的命令会返回下列信息：

**HTTP/1.1 200 OK

X-Powered-By: PHP/7.0.10 

Content-type: text/html; charset=UTF-8**

>>>阅读全文