多年來,PHP一直是一個穩定的、廉價的運行基於web應用程序的平台。像大多數基於web的平台一樣,PHP也是容易受到外部攻擊的。開發人員、數據庫架構師和系統管理員在部署PHP應用程序到服務器之前都應該采取預防措施。大部分預防措施可以通過幾行代碼或者把應用程序設置稍作調整即可完成。
1:管理安裝腳本
如果開發人員已經安裝了一套第三方應用程序的PHP腳本,該腳本用於安裝整個應用程序的工作組件,並提供一個接入點。大多數第三方軟件包都建議在安裝後,刪除該目錄包含的安裝腳本。但開發人員希望保留安裝腳本,他們可以創建一個.htaccess文件來控制管理訪問目錄。
AuthType Basic
AuthName “Administrators Only”
AuthUserFile /usr/local/apache/passwd/passwords
Require valid-user
任何未經授權的用戶,如果試圖訪問一個受保護的目錄,將會看到一個提示,要求輸入用戶名和密碼。密碼必須匹配指定的“passwords”文件中的密碼。
2:頭文件
在很多情況下,開發人員可以將分布在應用程序的幾個腳本包含進一個腳本裡。這些腳本將包含一個“include”指令,集成單個文件到原始頁面的代碼裡。當“include”文件包含敏感信息,包括用戶名、密碼和數據庫訪問密鑰時,該文件的擴展名應該命名成“.php ",而不是典型的“.inc”擴展。“.php”擴展確保php引擎將處理該文件,並防止任何未經授權的訪問。
