Para asegurar una instalación de PHP, ¿cuáles son las mejores configuraciones para un archivo php.ini? ¿Qué es absolutamente vital en términos de seguridad? ¿Qué se recomienda para la mayoría de los casos de uso?
Para asegurar una instalación de PHP, ¿cuáles son las mejores configuraciones para un archivo php.ini? ¿Qué es absolutamente vital en términos de seguridad? ¿Qué se recomienda para la mayoría de los casos de uso?
Encuentro que un buen paso para fortalecer su archivo php.ini es usar la herramienta PHPSecInfo , esta herramienta describirá qué configuraciones tiene actualmente en su php.ini que pueden causar un riesgo de seguridad. Además de usar esa herramienta, dale un vistazo a este artículo en Hardening PHP from php.ini y recupera la mayor parte de Las principales preocupaciones.
Personalmente, las dos cosas principales que siempre me aseguro de que estén configuradas correctamente son:
Otro endurecimiento de php.ini podría ser la limitación de recursos, como se describe en el propio archivo de configuración "Límites de recursos". En general, depende de su aplicación web, qué límites deben configurarse. Como sé, por ejemplo, para la instalación de Wordpress 32M de memoria memory_limit
no es suficiente. Otras aplicaciones requieren más tiempo para ejecutar max_execution_time
. Además, le gustaría reducir el tiempo máximo permitido para que los datos se transfieran max_input_time
. El tamaño máximo de POST también se puede limitar a post_max_size
. Todas las configuraciones mencionadas anteriormente generalmente ayudarán a evitar las condiciones de DoS.
Sobre maqic_quotes_gpc
, es bastante molesto, y desde PHP5.4 se eliminó. Los desarrolladores a menudo eliminan automáticamente las barras inclinadas al detectar esta configuración.
Lea otras preguntas en las etiquetas web-application appsec hardening php