流行的PHP虚拟主机安全配置

发布日期 2018-04-26 12:35:40

  《进阶笔记》第2章构建个性化的进阶平台。本章适用于日常系统的安全配置。通过构建虚拟安全测试平台,配置ASP、PHP、JSP安全测试,确保虚拟主机安全。本节为大家介绍流行的PHP虚拟主机安全配置。

  PHP最初是被称作Personal Home Page,后来随着PHP成为一种非常流行的脚本语言,名称也随之改变了,叫作Professional HyperText PreProcessor。以PHP 4.2为例,支持它的Web服务器有Apache、、Microsoft PWS、AOLserver、Netscape Enterprise等。它是一种跨平台的服务器端的嵌入式脚本语言,大量地借用了C、Java和Perl语言的语法,并耦合PHP自己的特性,使Web开发者能够快速地写出动态生成页面。还有一点,PHP是完全免费的,不用花钱,用户可以从PHP站点(下载。而且可以不受地获得源码,甚至可以加进自己需要的特色功能。

  在PHP的安全调试实践中,使用过PHP和MySQL的结合,可以生成后门木马;就PHP本身而言,它还存在远程溢出、远程服务、safe_mode绕过漏洞以及PHP本身的安全配置问题。例如:PHP 4.1.2以下的所有版本都存在文件上传远程缓冲区溢出漏洞,而且程序已经广泛流传;PHP 4.2.0和PHP 4.2.1存在PHP multipart/form-data POST请求处理远程漏洞,虽然不能获得本地用户权限,但是也能造成服务。因此,除了IIS、Apache等Web服务器的安全,还要从PHP本身的安全等方面着手,如果发现某个PHP版本存在安全问题,一定要及时升级到最新版本。在开始这些安全问题之前,用户必须对PHP的调试有一个比较详细的了解。

  对于PHP的应用,使用下的Apache+PHP+MySQL配置可以达到比较满意的效果,理由很简单,PHP的原型就是基于Linux系统开发的一个Web服务工具,虽然也为了方便移植到Window系统,但是却有相当部分的功能和性能不能完全发挥。不过,对于已经习惯使用Windows系统的安全爱好者来说,Windows系统的普及性决定了Windows下的测试仍然是首选的整合。默认情况下,IIS是不支持PHP的,手工配置IIS的PHP调试相对繁琐,而且还不一定能配置成功。因此,很多安全爱好者原本希望测试PHP脚本,却陷入了配置的无尽烦恼中。那么,如何才能让IIS支持PHP呢?下面介绍一种方法,只需要简单几步就能在IIS中配置好PHP调试。

  (2)安装这个软件。这时,软件会提示选择需要配置的IIS版本。当然,我们也可以选择安装Apache等Web服务器,这样也可以直接在其上安装PHP。选择后,直接单击Next按钮进入下一步,如图2.36所示。

  (3)完成安装。软件会提示安装成功的提示。在这样的下,我们就可以开始对PHP程序进行安全测试了。现在,在Internet服务管理器中,右击网站目录,选择属性,在网站目录属性对话框的主目录页面中,单击配置按钮,弹出应用程序配置对话框,在应用程序映射页面,就可以看到PHP程序的配置文件了。

  (4)安装MySQL程序。打开下载推荐的MySQL数据库稳定版本。安装完毕,软件会提示选择Service Name和设置Windows的变量,如图2.37所示。

  然后,设置默认的管理员密码。安装完毕。MySQL的执行性能非常高,运行速度非常快,并且非常容易使用,是一个优秀的免费数据库。

  在PHP下面用浏览器打开,如果输出success,表示数据库连接正确。testdb.php的代码如下:

  (5)测试phpMyAdmin管理程序。需要下载phpMyAdmin这个程序。首先,打开网站,找到下载区,开始下载phpMyAdmin管理程序。然后,将程序拷贝到IIS的某个虚拟目录下。打开后的phpMyAdmin界面如图2.38所示。

  完成上述搭建之后,我们重点关注一下PHP配置的一些安全问题。PHP的配置非常灵活,可以通过、f、.htaccess文件进行设置,还可以在脚本程序里使用ini_set()及其他的特定的函数进行设置。例如,设置注入(sql_inject)问题时,要求程序员对所有用户提交的要放到SQL语句的变量进行过滤。即使是数字类型的字段,变量也要用单引号括起来,MySQL自己会把字串处理成数字。在MySQL里不要给PHP程序高级别权限的用户,只允许对自己的库进行操作。

  比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。

  比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!

  比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,H5建站!成为网管好帮手。

  比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。

  比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据与容灾构建以及数据管理部署等方面服务。

  比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、度的宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加,对信息安全界的动态新闻更新更快。

  新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的途径。

  比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。

  比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。

  IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。

  X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。

首页 | 关于我们 | 联系我们 | 客户案例 | 支付方式 | 常见问题 | 有问必答 | 权利与义务
备案系统认证 我们的支付方式 AAA级信用
亿佰数据 -国内领先的自助建站免费建站智能建站、成品网站、手机网站、微网站服务商
版权所有 ©广州市鸿帆网络科技有限公司 2006-2016 All Rights Reserved,粤ICP备09171622号   粤公网安备 44010602001071号