php.ini裡儲存了關於php設定的資訊
有些設定可以考慮做些改變
另外這篇文章也會提到避免網站受到script攻擊
用文字編輯器打開php.ini
safe_mode
假如設定成on,會使得php網頁不能夠被相同伺服器上其他使用者的php網頁呼叫
open_basedir = directory[:...]
限制了PHP對目錄的存取能力,也影響了他能夠執行的檔案
display_errors
假如網站錯誤而不想讓網站參觀者知道,把這選項設定成off
log_errors
將錯誤送到錯誤記錄,是個檢查錯誤的好地方
如果display_errors設定成off,這個選項設定成on
可以讓自己知道問題原因而不會洩露給網站參觀者
error_log
這裡會儲存錯誤記錄的存放位置, log_errors設定成on時可以關注這個選項
script攻擊是應用injection attack
將script碼輸入到沒有防範的填寫格中
可以做到重新導引瀏覽器到別的網站,例如類似的假網站來盜取資料
又或者是盜取cookie等手法
防範的手法包括盡量做驗證或者是使用PHP函式
PHP函式中的strip_tags()可以幫助去除script攻擊
另外,以正規表示法防範不該出現的字元或符號也是一種方法
沒有留言:
張貼留言