Chủ Nhật, 30 tháng 11, 2014

Bảo mật server trong php

Nhiều các bạn lập trình khi thiết kế website thường không chú ý mà bỏ qua vấn đề bảo mật cho server khiến cho website của mình bị đối thủ khai thác .
Bài này mình xin chia sẻ kiến thức cách bảo mật server bằng cách tắt các chức năng nguy hiểm trong php.


Mặc định khi cài php sẽ bật rất nhiều hàm, trong đó có một số hàm bị các hacker lợi dụng để khai thác website của bạn, nhằm ngăn chặn các việc đáng tiếc này có thể xảy ra các bạn cần phải tắt vài hàm để không cho chúng thực thi, nhằm an toàn hơn cho website của bạn, hãy bắt đầu bằng cách:
Mở file php.ini theo đường dẫn:
/etc/php.ini
Sau đó thêm vào dòng disable_functions:
disable_functions =exec,passthru,shell_exec,system,symlink,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source 
Vậy là ta đã tắt một số hàm nguy hiểm có thể có, sau đó tôi khuyên các bạn nên tắt luôn hai hàm này đi:
allow_url_fopen=Off
allow_url_include=Off
Ngoài ra, các bạn cần phải thận trọng với các con shell được upload lên server dưới dạng giả danh ảnh hoặc file nhạc, nên cần phải tắt chức năng chạy php trong các folder upload, các bạn dùng lệnh này cho vào file .htaccess rồi đưa vào thư mục lớn của phần upload lên:
<FilesMatch "(?i).(php|php3?|phtml|inc|cgi)$">
    Order Deny,Allow
    Deny from All
</FilesMatch>
Và bây giờ chỉ cần restart lại Apache:
service httpd restart

 Chúc các bạn thành công !

Với các bạn yêu thích lập trình có thể tham gia khóa học lập trình php tại Việt Tâm Đức để có những trải  nghiệm thú vị nhé :D

Tham khảo :
Dịch vụ thiết kế web tại Hà Nội
Học thiết kế web cho người đi làm
Học thiết kế web



0 nhận xét:

Đăng nhận xét