Конец Сухосин; что будет дальше?
На протяжении многих лет, Я ревностно использовали Сухосин с любыми реализациями PHP5 на веб-серверах Apache2 или PHP-FPM Nginx для защиты от инъекций и других распространенных веб-атак. На самом деле, PHP5 был настолько катастрофическим, как с точки зрения его основной безопасности, и его функции и модули, которые я никогда бы не задумал, используя его без каких-либо значительных упрочнения, что Suhosin обеспечивает.
Как PHP5 обесценивается и мои программы наследия все ушли, Я остался с несколькими реализации PHP7 и не доступны Suhosin патчи.
Хотя, это еще технически можно добавить Сухосин в PHP 7.0 И 7.1 (пре-альфа - не для производства), справедливо сказать, что проект уже давно ушел, и PHP7 уже доказал, что он может быть хлопотно как это было его предшественником. Как я думаю о новом дополнении к WAF и основной безопасности PHP7, вот некоторые из решений, которые я пришел с:
Отключение плохих или ненужных функций
Есть много рискованных функций, построенных внутри PHP, которые потенциально опасны и должны быть отключены внутри 'php.ini' по умолчанию. Вы можете найти файл config с помощью ниже команды и отключить функции через vi или nano.
php -i | grep "php.ini"ПОЖАЛУЙСТА, ОБРАТИТЕ ВНИМАНИЕ: Если вы одновременно работаете с различными версиями PHP или программа установлена как часть другого сторонного приложения, то шансы высоки, что у вас есть несколько 'php.ini установлен и не ясно, какой из них загружается веб-сервер. Убедитесь, что вы редактируете правильную версию (php-v).
Добавить ниже строку в конце файла 'php.ini', убедитесь, что вы сохранили файл, и перезапустить веб-сервер. Вы можете узнать о каждой из этих функций PHP по этому адресу. В качестве измеренного действия, Вы можете добавить их один за другим, чтобы убедиться, что это не негативно влияет на ваши приложения.
disable_functions = popen, eval, leak, exec, shell_exec, curl_exec, curl_multi_exec, parse_ini_file, mysql_connect, system, phpinfo, escapeshellarg, escapeshellcmd, passthru, symlink, show_source, mail, sendmail, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuidОтключение регистра глобальных и Base64
Register Global является функцией PHP, которая позволяет преобразовывать входные массивы в URL в переменный внутри кода. Поэтому, любой потенциально уязвимый код может быть использован злоумышленником, который может передавать вредоносные массивы с помощью запросов HTTP GET или POST.
Регистрация Глобальные могут быть легко отключены, добавив ниже строку в конце 'php.ini'. Не забудьте перезапустить веб-сервер для выполнения изменений.
register_globals = OffТак же, как Регистрация Глобальный, Base64 является еще одной часто ненужной особенностью, которая открывает дверь в вредоносные задние двери. Вы можете отключить декодер Base64 постоянно, добавив ниже строку к концу 'php.ini'.
base64_decode = OffПубликация заявления об отказе от ответственности
Виды, Информация, или выраженные мнения являются исключительно мнениями автора и не обязательно отражают мнения его работодателя или организаций, с которыми он связан.
Информация, содержащаяся в этом посте, предназначена только для общих информационных целей. Информация предоставлена Фархадом Мофиди, и в то время как он стремится поддерживать актуальность и точность информации., он не делает никаких заявлений или гарантий любого рода, явное или подразумеваемое, относительно полноты, Точность, надёжность, пригодность или доступность веб-сайта. Фархад не делает никаких заявлений или гарантий. или любая информация, продукты или связанные с ними графические изображения, содержащиеся в любом Сообщении для любых целей.
Тоже, ИИ может использоваться в качестве инструмента для предоставления предложений и улучшения некоторого содержания или предложений.. Идеи, Мысли, Мнения, и конечные продукты являются оригинальными и созданными человеком автором.