Ir para conteúdo
  • Cadastre-se

Php.ini Mais Seguro - Como ?

Alexandre Duran

Por Alexandre Duran
em Segurança

 Compartilhar

Posts Recomendados

Alexandre Duran

Alexandre Duran

Postado
Postado

Caros algumas configs no php.ini vem habilitadas por padrão, gostaria de saber dos nobres colegas quais devem ser removidas/desabilitadas (PHP 5.3.x).

Por exemplo:

; Magic quotes for incoming GET/POST/Cookie data.

;magic_quotes_gpc = Off

A linha vem comentada, deixando o magic_quotes_gpc em on e segundo a prórpia PHP é um recurso inseguro. Deve ser colocado como

magic_quotes_gpc = Off

Quais outras configs são inseguras e continuam ativas por padrão ?

Link para o comentário
Compartilhar em outros sites
Jaime Silva

Jaime Silva

Postado
Postado

Siga a dica do JP. Mas acho que desativar as funções system, exec pode prejudicar seus usuários.

Ainda assim, os usuários mesmos podem sobrescrever essa configurações usando um arquivo php.ini customizado.

Existe uma opção chamada Safe PHP CGI -- prevents users from overriding system php.ini mas não sei se seu uso é este mesmo.

Não há bem nem mal que dure para sempre. Um dia tudo acaba.

Link para o comentário
Compartilhar em outros sites
Clebson

Clebson

Postado
Postado

Siga a dica do JP. Mas acho que desativar as funções system, exec pode prejudicar seus usuários.

Ainda assim, os usuários mesmos podem sobrescrever essa configurações usando um arquivo php.ini customizado.

Existe uma opção chamada Safe PHP CGI -- prevents users from overriding system php.ini mas não sei se seu uso é este mesmo.

Também é possível impedir que os usuários substituam o php.ini padrão, usando o suPHP.

_______________________________________________________________________

# vi /opt/suphp/etc/suphp.conf

Procure o código abaixo e pressione I para inserir o texto.

[phprc_paths]

;Uncommenting these will force all requests to that handler to use the php.ini

;in the specified directory regardless of suPHP_ConfigPath settings.

;application/x-httpd-php=/usr/local/lib/

;application/x-httpd-php4=/usr/local/php4/lib/

;application/x-httpd-php5=/usr/local/lib/

Remova o ponto e vírgula ( ; ) das últimos três linhas abaixo.

application/x-httpd-php=/usr/local/lib/

application/x-httpd-php4=/usr/local/php4/lib/

application/x-httpd-php5=/usr/local/lib/

Pressione ESC e digite :wq para salvar o arquivo.

Agora reinicie o servidor Apache:

# /sbin/service httpd restart

_______________________________________________________________________

Pronto! Agora, os usuários não serão mais capazes de substituir o seu arquivo php.ini padrão.

Link para o comentário
Compartilhar em outros sites
Jordan Miguel

Jordan Miguel

Postado
Postado

Siga a dica do JP. Mas acho que desativar as funções system, exec pode prejudicar seus usuários.

Ainda assim, os usuários mesmos podem sobrescrever essa configurações usando um arquivo php.ini customizado.

Existe uma opção chamada Safe PHP CGI -- prevents users from overriding system php.ini mas não sei se seu uso é este mesmo.

Eu acho que clientes que precisam de funções do tipo de "exec", podem ser convidados a um ambiente isolado como um VPS.

Link para o comentário
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept