Disport & Study

[정보보안/보안/보안전문가]  PHP 기초 보안

PHP에 대한 기초적인 보안 사항 입니다.

php.ini 는 보통 /etc/ 디렉토리에 있습니다.
( 소스컴파일등으로 다른 디렉토리에 있을시 #whereis php.ini 등 명령으로 찾으면 됩니다.)

1.
php 에서 오류 발생시 디렉토리 경로의 내용을 좌악 보여주면 이 정보를 악용할 소지가 있습니다.
php.ini 에서 display_errors를 Off 로 하면됩니다 (기본값은 On 입니다.)

display_errors=Off

2.
phpinfo() 함수는 시스템내의 php,http,mysql 과 관련한 모든 정보를 보여 줍니다.
따라서 운용시 막아두는 것이 좋습니다. phpinfo() 스크립트를 금지 시키는 옵션 입니다.

disable_functions = phpinfo()

3.
php 내에서 스크립트 함수를 ( exec() ) 모두 막을수 있지만, 불편함을 초래 할수 있습니다. 이경우 실행될 디렉토리를 지정해 주고 이 내에있는 것만 실행 하도록 하면 됩니다.

safe_mode = On  ( 디폴트는 Off 입니다. )
safe_mode_exec_dir=/usr/local/bin   ( 지정할 디렉토리 디폴트는 없습니다. )