Первостепенная защита сайта на PHP

blacks · 2009-08-08T15:39:26.0000000Z

Продолжаю изучение защиты сайта. Недавно прочел несколько статей с предложением отключения некоторых функций PHP. Но так как хостинг у меня только виртуальный и возможности править php.ini нет Придется править .htaccess Подскажите, поправте что не так. Что вкл а что выкл :) ? Вот несколько директив / функций которые как я понял желательно отключить: safe_mode - проверяет владельца запущенного скрипта и если скрипт пытается открыть какой-либо файл - делает это с правами этого владельца php_admin_flag safe_mode on register_globals - Запретить создание глобальных переменных из пользовательского ввода если включена, переменные GET, POST, Cookie, Server будут регистрироваться как глобальные переменные. Если директива выключена, то глобальный доступ можно получить через массивы $HTTP_ENV_VARS, $HTTP_GET_VARS, $HTTP_POST_VARS, $HTTP_COOKIE_VARS, $HTTP_SERVER_VARS php_flag register_globals 0 php_value register_globals 0 allow_url_fopen - запрет подключению сайта к удалённым страницам, скриптам. это несколько замедлит работу программы - при каждом вызове *.php скриптов будет происходить обращение к файлу .htaccess php_value allow_url_fopen 0 php_flag allow_url_fopen 0 phpinfo запретить опасные функции: disable_functions=phpinfo,system,passthru,cmd expose_php - директива сообщает, может ли PHP оповещать пользователей о своем существовании на данном сервере, например, добавляя HTTP заголовок. expose_php off max_filesize Ограничить размер загружаемого файла на сервер upload_max_filesize = 2M Ограничения на время работы max_execution_time = 30 Отключить вывод ошибок И включить директиву записи ошибок в лог-файл сервера. В результате такого запроса, становится известен путь к скрипту и имя файла. Если нет доступа к php.ini, можно добавить в начало скрипта строку error_reporting(0); это подавит вывод ошибок. php_flag display_errors off php_flag log_errors on php_value error_log /home/ваш_путь/web/php_error.log php_value error_reporting 2039 magic_quotes_gpc - если включена, автоматически добавляет слеши к данным пришедшим от пользователя - из POST, GET запросов и cookie. php_flag magic_quotes_gpc 0 magic_quotes_runtime - если включена, автоматически добавляет слеши к данным, полученным во время исполнения скрипта - например, из файла или базы данных. php_flag magic_quotes_runtime 0 Под вопросом: php_value magic_quotes_sybase Off php_value post_max_size 20M php_value max_input_time 200 PS Немного запутался в следующем: 1. safe_mode должен быть выключен или выключен? 2. функции должны включатся с помощью php_value или php_flag ? - поэтому некоторые примеры представлены в разных(двух) вариантах. 3. как включить некоторые функции в htaccess мне не удалось узнать поэтому они написаны в виде настроек для php.ini

112

Ваано

9 августа 2009, 01:57

#11

neolord:
такой мудацкий метод что и придумать хуже наверное нельзя.

Это к какому методу из вышеперечисленных относится?

Чтобы знать что стоит использовать, а что нет.

Туры в Мексику тут (http://www.metmexico.com). Оптимальное отношение цена/качество.

225

ewg777

9 августа 2009, 07:04

#12

Я с PHP не очень знаком
Как это применять?

Тогда какая может быть речь о защите? Заказывайте услуги профи не думайте.

[Удален]

9 августа 2009, 08:59

#13


<?php

if ( $_SERVER [ 'REQUEST_METHOD' ] == 'TRACE' ) {

	die ( 'Bad metods !' );

}

if ( isset ( $_REQUEST [ 'GLOBALS' ] ) || isset ( $_FILES [ 'GLOBALS' ] ) ) {

	die ( 'Bad metods !' );

}

if ( ! is_array ( $GLOBALS ) ) {

	die ( 'Bad metods !' );

}

$badcount = '0';

$baddata = array ( "ALTER", "BENCHMARK", "CHANGE", "CMD", "CONCAT", "DELETE", "DROP", "EXEC", "FROM", "GRANT", "INSERT", "MODIFY", "OUTFILE", "RENAME", "RELOAD", "SELECT", "SHUTDOWN", "SLEEP", "UNION", "UPDATE", "WHERE", "--", "\([^>]*\"?[^)]*\)", "<[^>]*body*\"?[^>]*>", "<[^>]*script*\"?[^>]*>", "<[^>]*object*\"?[^>]*>", "<[^>]*iframe*\"?[^>]*>", "<[^>]*img*\"?[^>]*>", "<[^>]*frame*\"?[^>]*>", "<[^>]*applet*\"?[^>]*>", "<[^>]*meta*\"?[^>]*>", "<[^>]*style*\"?[^>]*>", "<[^>]*form*\"?[^>]*>", "<[^>]*div*\"?[^>]*>", "'" );

if ( ! isset ( $_REQUEST ) ) return;

foreach ( $_REQUEST as $params => $inputdata ) {

	foreach ( $baddata as $badkey => $badvalue ) {

		if ( is_string ( $inputdata ) && eregi ( $badvalue, $inputdata ) ) {

			$badcount = '1';

		}

	}

}

if ( $badcount == '1' ) {

echo 'Пошел на ....';

	exit ( );

}

?>

как вариант ))

B

69

blacks

9 августа 2009, 12:28

#14

ewg777:
Тогда какая может быть речь о защите? Заказывайте услуги профи не думайте.

Сейчас пишу .htaccess и хочу его проработать детально, чтоб не возвращатся :)

Поэтому и понадобились данные директивы.

[Удален]

9 августа 2009, 12:34

#15

Ваано:
Это к какому методу из вышеперечисленных относится?
Чтобы знать что стоит использовать, а что нет.

про тот который y4b3 или как его там. и вот про этот:

KosoyRoman:


<?php

if ( $_SERVER [ 'REQUEST_METHOD' ] == 'TRACE' ) {

	die ( 'Bad metods !' );

}

if ( isset ( $_REQUEST [ 'GLOBALS' ] ) || isset ( $_FILES [ 'GLOBALS' ] ) ) {

	die ( 'Bad metods !' );

}

if ( ! is_array ( $GLOBALS ) ) {

	die ( 'Bad metods !' );

}

$badcount = '0';

$baddata = array ( "ALTER", "BENCHMARK", "CHANGE", "CMD", "CONCAT", "DELETE", "DROP", "EXEC", "FROM", "GRANT", "INSERT", "MODIFY", "OUTFILE", "RENAME", "RELOAD", "SELECT", "SHUTDOWN", "SLEEP", "UNION", "UPDATE", "WHERE", "--", "\([^>]*\"?[^)]*\)", "<[^>]*body*\"?[^>]*>", "<[^>]*script*\"?[^>]*>", "<[^>]*object*\"?[^>]*>", "<[^>]*iframe*\"?[^>]*>", "<[^>]*img*\"?[^>]*>", "<[^>]*frame*\"?[^>]*>", "<[^>]*applet*\"?[^>]*>", "<[^>]*meta*\"?[^>]*>", "<[^>]*style*\"?[^>]*>", "<[^>]*form*\"?[^>]*>", "<[^>]*div*\"?[^>]*>", "'" );

if ( ! isset ( $_REQUEST ) ) return;

foreach ( $_REQUEST as $params => $inputdata ) {

	foreach ( $baddata as $badkey => $badvalue ) {

		if ( is_string ( $inputdata ) && eregi ( $badvalue, $inputdata ) ) {

			$badcount = '1';

		}

	}

}

if ( $badcount == '1' ) {

echo 'Пошел на ....';

	exit ( );

}

?>

как вариант ))

Это похоже из DLE.

Из за таких мудацких способов защиты на некоторых сайтах нельзя даже показать пример запроса без страха. Это не защита а паранойя.

112

Ваано

9 августа 2009, 13:03

#16

neolord, спасибо. Буду знать.

Y5

10

y4b53

10 августа 2009, 12:26

#17

neolord ну мы хоть как-то помогли ТС.. Раз мудацкий предложи что-то лучше?

B

69

blacks

10 августа 2009, 19:18

#18

А может кто подсказать что в "моих сборках лишние" для виртуального хостинга?

Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта

Вышел новый Яндекс Браузер с YandexGPT и YandexART