it-swarm-es.com

¿Cuáles son las mejores prácticas para fortalecer un archivo php.ini?

Para asegurar una instalación PHP, ¿cuáles son las mejores configuraciones para un archivo php.ini? ¿Qué es absolutamente vital en términos de seguridad? ¿Qué se recomienda para la mayoría de los casos de uso?

24
VirtuosiMedia

Creo que un buen paso para fortalecer su archivo php.ini es usar la herramienta PHPSecInfo , esta herramienta describirá qué configuraciones tiene actualmente en su php.ini que pueden causar un riesgo de seguridad. Además de usar esa herramienta, proporcione este artículo sobre Endurecimiento PHP de php.ini un aspecto es bueno y recoge la mayoría de las principales preocupaciones.

Personalmente, las dos cosas principales que siempre me aseguro de configurar correctamente son:

  • display_errors - En un servidor de producción, esto debería apagarse y los errores deberían registrarse en un archivo.
  • group_id : se establece en un valor apropiado para un usuario con pocos privilegios, p. www-data no root.
11
Mark Davidson

Otro fortalecimiento de php.ini podría ser la limitación de recursos, como se describe en el archivo de configuración "Límites de recursos". En general, depende de su aplicación web qué límites deben establecerse. Como sé, por ejemplo, para Wordpress instalación 32M memoria memory_limit no es suficiente. Otras aplicaciones requieren más tiempo para ejecutarse max_execution_time. Además, le gustaría reducir el tiempo máximo permitido para la transferencia de datos max_input_time. Máximo POST tamaño también puede ser limitado post_max_size. Todas las configuraciones mencionadas anteriormente generalmente ayudarán a evitar condiciones DoS.

Acerca de maqic_quotes_gpc, es bastante molesto, y a partir de PHP5.4 se eliminó. Los desarrolladores a menudo eliminan automáticamente las barras al detectar esta configuración.

2
anonymous