PHP安全配置

一、Web服务器安全
PHP其实不过是Web服务器的一个模块功能，所以首先要保证Web服务器的安全。当然Web服务器要安全又必须是先保证系统安全，这样就扯远了，无穷无尽。PHP可以和各种Web服务器结合，这里也只讨论Apache。非常建议以chroot方式安装启动Apache，这样即使Apache和PHP及其脚本出现漏洞，受影响的也只有这个禁锢的系统，不会危害实际系统。但是使用chroot的Apache后，给应用也会带来一定的麻烦，比如连接mysql时必须用127.0.0.1地址使用tcp连接而不能用localhost实现socket连接，这在效率上会稍微差一点。还有mail函数发送邮件也是个问题，因为php.ini里的：
[mail function]
; For Win32 only.
SMTP = localhost
; For Win32 only.
sendmail_from = me@localhost.com
都是针对Win32平台，所以需要在chroot环境下调整好sendmail。

SQL注入式攻击是利用是指利用设计上的漏洞，在目标服务器上运行Sql命令以及进行其他方式的攻击，动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。比如：
　　如果你的查询语句是select * from admin where username=‘"&user&"‘ and password=‘"&pwd&"‘"
　　那么，如果我的用户名是：1‘ or ‘1‘=‘1
　　那么，你的查询语句将会变成：
select * from admin where username=‘1 or ‘1‘=‘1‘ and password=‘"&pwd&"‘"
　　这样你的查询语句就通过了，从而就可以进入你的管理界面。
　　所以防范的时候需要对用户的输入进行检查。特别式一些特殊字符，比如单引号，双引号，分号，逗号，冒号，连接号等进行转换或者过滤。
　　需要过滤的特殊字符及字符串有：
 net user
 xp_cmdshell
 /add
 exec master.dbo.xp_cmdshell
 net localgroup administrators
 select
 count
 Asc
 char
 mid
 ‘
 :
 "
 insert
 delete from
 drop table
 update
 truncate
 from
 %
　　下面是我写的两种关于解决注入式攻击的防范代码，供大家学习参考！
　　js版的防范SQL注入式攻击代码～：
[CODE START]　　
<script language="javascript">
<!--
var url = location.search;
var re=/^?(.*)(select%20|insert%20|delete%20from%20|count(|drop%20table
　　|update%20truncate%20|asc(|mid(|char(|xp_cmdshell|exec%20master
　　|net%20localgroup%20administrators|"|:|net%20user|‘|%20or%20)(.*)$/gi;
var e = re.test(url);
if(e) {
alert("地址中含有非法字符～");
location.href="error.asp";
}
//-->
<script>
[CODE END]
　　asp版的防范SQL注入式攻击代码～：
[CODE START]
＜%
On Error Resume Next
Dim strTemp
If LCase(Request.ServerVariables("HTTPS")) = "off" Then
如果你的php.ini中register_globals = On, 所有post, get, cookie, session的同名变量就会搅和在一起,
可以用$HTTP_*_VARS["username"]来判断你想要的那个变量.
但是即使同名, 在php.ini中variables_order = "GPCS"也会按照优先级别来判断, 等级低的值没法冲掉等级高的
所以, 如果一开始就用session_register("username")是明智的, 也可以用session_is_registered来判断变量是否已经注册.
这是一个例子:
if (!session_is_registered("username")) {
    $user_name= "";
    session_register("username");
}
同时保证你的php.ini中, variables_order = "GPCS" (缺省) S即session要放在最后, 优先.
register_globals = On有些浪费系统资源, 在优化配置中被关掉, 这样也避免了出现所谓漏洞.
因为以前碰到过这个问题, 给大家参考一下.
在 php.ini 配置文件里面有这个选项  

disable_functions = ; This directive allows you to disable certain
; functions for security reasons. It receives
; a comma separated list of function names.
; This directive is *NOT* affected by whether
; Safe Mode is turned on or off.  

写成
disble_function = phpinfo
 

网友“小好”给我了一个聊天室ip，让我去看看。原本想入侵它的服务器，大概技术没到家，搞了十几分钟，也没有进去。于是，我就想找找这个聊天室有什么BUG。聊天室看得出是用PHP+MySQL组建的。栏目有：用户注册、 忘记密码、 修改资料、 用户自杀、 聊 神 榜、 聊天说明、 刷新列表 。接着就是聊天了。
我随便注册了一个用户名，按照我的喜好，喜欢开xxxxxx用户，这样，我就用xxxxxx注册了一个用户。登陆进去。
从哪儿下手呢？我想还是先看看修改资料，一般聊天室这里总有这样那样的漏洞。点了一下修改资料，于是就进入下一画面，需要输入用户名和秘密。输好了后，下一步，进入资料修改。YES!资料修改中有用户昵称，其实就是用户名，马上查看源文件，看到如下的HMTL语句：
=================================================cut===========
<form name="ezchat" action="modifyed.php" method="post" enctype="multipart/form-data">
<input type="hidden" name="active" value="change">
<input type="hidden" name="user_name" value="xxxxxx">
<input type="hidden" name="user_passwd_t" value="xxxxx">
<table cellspacing=1 cellpadding=2 width="675" border=0 align=center bgcolor="#FFFFFF">
<tr align=center bgcolor="#FFD193">
<td colspan="4" height="22">用户资料</td>
</tr>
<tr align=center bgcolor="#FFEACE">
<td width="20%" height="22">
<div align="left">用户昵称：<font color="#FF0000"><b>*</b></font></div>
</td>
<td width="30%" height="22">
<div align="left">
<input type="text" name="user_name_1" readonly class="input" value="xxxxxx">
</div>
</td>
==========================================end==================