Ataques frequentes de hackers provam que a segurança da Web continua sendo a questão mais importante para qualquer pessoa que faça negócios na Internet. Na maioria das vezes, os servidores são os alvos desses ataques por causa das informações que armazenam. É por isso que é necessário garantir uma proteção confiável do servidor.
Protegendo o PHP no Apache
Inicie o protocolo "phpinfo ()" e verifique a linha com o comando "open_basedir". Com este comando você pode definir o diretório base para todos os usuários. Depois de definir esse valor, eles não poderão mais abrir arquivos fora desta pasta raiz ou seus subdiretórios, como "C: / Windows".
Se você tiver outros diretórios estruturais, defina-os como o diretório base com o comando "www_root". No entanto, um usuário também poderá ler e modificar os arquivos de outro usuário. Isso deve ser evitado.
Infelizmente, não há opções no arquivo php.ini para impedir que um usuário acesse os dados de outro.
Mas existe uma maneira interessante se o PHP estiver rodando no Apache. Em phpinfo () você encontrará duas colunas: Valor primário e Valor local. O primeiro é o valor em "php.ini". O segundo é um valor determinado durante a execução do servidor.
Se o valor principal for pequeno em termos numéricos, então ele pode ser alterado no script usando o comando "ini_set ()". Isso não se aplica a "open_basedir" porque esse valor é crítico para a segurança e só pode ser alterado por um administrador.
No Apache, o arquivo de configuração "httpd.conf" pode ser especificado no manual sob o valor local "open_basedir".
Outras configurações de PHP
Ao definir "disable_functions" no arquivo "php.ini", você deve desabilitar funções que são potencialmente perigosas.
Pense cuidadosamente em cada ação que você realizar. Desativar a função significa que alguns scripts irão parar de funcionar.
Alguns recursos são realmente perigosos e geralmente não são necessários para scripts. Outros podem ser necessários para fins específicos. Portanto, não é fácil desativar todas as funções que podem ser perigosas, mas também pesar cuidadosamente suas decisões.
Não acredite que a função "safe_mode = On" por si só será suficiente. Isso pode desativar alguns recursos úteis e não resolver o problema de segurança descrito acima. O modo de segurança está obsoleto no PHP 5.3.0 e foi removido no PHP 6.0.0.
Problemas de proteção
Existem vários erros que um desenvolvedor da Web pode cometer e tornar um site inseguro.
Por exemplo, se você criar seu blog e permitir que os usuários carreguem imagens, isso pode ser um sério risco quando o código é escrito por um iniciante. Existem vários erros que um programador pode cometer na página de login, etc. Um dos mais comuns é a falta de proibição de download de algoritmos maliciosos.
O ponto importante é que um site inseguro em hospedagem pública é uma ameaça para todo o servidor. Além disso, instalar projetos de código aberto como PHP-Nuke pode ser arriscado. Várias vulnerabilidades em projetos semelhantes já foram descobertas.
