Deaktivieren Sie die Anzeige von Fehlern und Warnungen in PHP. Dies kann in der Programmierphase verwendet werden, um dem Entwickler zu helfen, die Fehler zu erkennen und sie dann zu deaktivieren, wenn das Web in die Produktionsphase eintritt.
Deaktivieren Sie alle Fehlermeldungen
Verwendung der folgenden Variablen in der php.ini:
error_reporting (0);
// Nur Ausführungsfehler benachrichtigen
error_reporting (E_ERROR | E_WARNING | E_PARSE);
// Alle Fehler außer E_NOTICE benachrichtigen
error_reporting (E_ALL ^ E_NOTICE);
// Alle PHP-Fehler benachrichtigen (error_reporting (E_ALL);
. Sie können auch aktiviert und deaktiviert werden, indem der Code an den Anfang der auszuführenden Seite gesetzt wird .
Es ist immer wichtig, Fehler zu korrigieren und nicht zu verbergen, viele Entwickler verwenden error_reporting (0), um Fehler zu verbergen, aber diese sind immer noch und könnten ausgenutzt werden. Wir sollten immer jeden Code vermeiden, den wir entwickeln.
Es ist wichtig, die Variablen und die von ihnen eingegebenen Daten zu kontrollieren.
Ändern Sie die Dateierweiterung
Sie können die Erweiterung ändern, indem Sie das PHP-Skript in Dateien mit der Erweiterung html aufrufen und ausführen.
In der Apache-Konfigurationsdatei (httpd.conf)
Wir suchen die Leitung:
AddType-Anwendung / x-httpd-php
Und wir fügen das Ende .htm und .html hinzu, wir würden wie folgt bleiben:
AddType-Anwendung / x-httpd-php .htm .html
Wir können auch eine benutzerdefinierte Erweiterung erstellen, um den Dateityp vor dem Besucher zu verbergen
AddType-Anwendung / x-httpd-php .bo .sol .tf
Dies ist aus Sicherheitsgründen sehr nützlich. Wir verstecken uns darin, dass die Anwendung programmiert ist, weil im Browser einfach .html oder die angepasste Erweiterung in den Skripten zu sehen ist, die tatsächlich PHP sind. Viele Websites verwenden diese Methode.
Stellen Sie sicher, dass register_globals inaktiv ist
Descativar register_globals und nicht die Erstellung von Variablen im laufenden Betrieb unter anderem mit:
register_globals = Aus
In der php.ini deklariert this Forces alle Variablen oder gibt einen Fehler aus.
Deaktivieren Sie Remote-URLs für Funktionen, die Dateien verarbeiten
Damit Sie eine Datei von unserem Server aus nicht von einem anderen aus ausführen oder darauf zugreifen können, deaktivieren wir in der php.ini allow_url_fopen
allow_url_fopen = Aus
Schränken Sie ein, welches PHP-Verzeichnis ein Skript oder einen Prozess lesen oder ausführen kann
open_basedir = /var/www/htdocs/midomino.com
Jede Domain kann ihre eigene php.ini ändern, wenn der Serveradministrator dies erlaubt, obwohl dies selten vorkommt.
Deaktivieren Sie Apache HTTP TRACE
HTTP TRACE wird verwendet, um das Ergebnis der Anforderung an den Server zurückzugeben.
Es kann für Cross Site Scripting- oder XSS-Angriffe verwendet werden. Aus Sicherheitsgründen ist es daher am besten, es zu deaktivieren.
Ändern Sie in / etc / httpd / conf / httpd . conf
TraceEnable aus
Apache ist einer der am häufigsten verwendeten Webserver und PHP ist die am weitesten verbreitete Sprache für die Entwicklung von Websites. Mit diesen Konfigurationen und Tools können wir die Sicherheit unserer Website gegenüber möglichen Angriffen verbessern.