php.ini
Cuando está bien configurado puede ahorrarnos hasta el 90% de escribir scripts PHP para seguridad.
Abrir php.ini con el Bloc de notas / Wordpad / Dreamweaver o Ultraedit (este último recomendado).
Y configurar las siguientes cosas de esta manera:
1
allow_url_include = Off
Puede incluir un archivo desde su propio sitio, pero no de otro servidor (bloqueo http / / y https / /). He aquí un ejemplo de cómo convertir una dirección URL para incluir a aquellos que no utilizan la dirección URL esto evitará errores y someterse a
include('http://yoursite.com/page.php');Esto incluirá
include($_SERVER['DOCUMENT_ROOT'] . '/page.php');
Así que si alguien ha decidido insertar cualquiera de sus scripts de inyect, simplemente ya no podrá porque la conexión del Sitio fallará.
2
display_errors = Off display_startup_errors = Off log_errors = On error_reporting = E_ALL error_log = /home/yourUserID/public_html/errors.txt
Nota: con esto no se van a mostrar errores de php. Y se guardarán en un archivo de texto. Por lo tanto, no aparecen errores en su página, puede ocultar fácilmente desde donde puede ser fácilmente atacado, al mismo tiempo se guardará y podrá ver su archivo de registro. Para esto cree una carpeta con el archivo errors.txt hacer un archivo .Htaccess
order allow,deny deny from all3
expose_php = Off
Esto no es tan importante, pero no hace daño si lo pones. Esta máscara será la versión de PHP en funcionamiento.
4
magic_quotes_gpc = On
Este archivo PHP se lo recomiendo a ser excluidos con el fin de hacer frente a la protección de "magic_quotes", pero como usted no sabe bien para que vulnerabilidad de seguridad podría ser explotado o cómo usarlos. Lo mejor es que se incluya.
magic_quotes_sybase = Off
Esta opción es mejor magic_quotes, retírelo.
5
register_globals = Off
Esta es una de las cosas más importantes que usted probablemente ha visto, un guión como este:
http://site.com/index.php?something=somevalue
Cuando register_globals = On, puede pasar algún valor en el script con su valor. Así que los atacantes pueden pedir lo que quieran a través de "algún valor". Es muy importante:
register_globals = Off
6
safe_mode = Off
Esta opción no se recomienda en php.ini
7
disable_functions = dl,show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, curl_exec, curl_multi_exec, parse_ini_file, proc_close, highlight_file, pcntl_exec, apache_note, apache_setenv, closelog, debugger_off, debugger_on, define_syslog_variables, escapeshellarg, escapeshellcmd, ini_restore, openlog, pclose, pcntl_exec, proc_get_status, proc_nice, proc_terminate, syslog, system,url_exec
Esto realmente no es obligatorio, pero estás 100% seguro de la eliminación de funciones peligrosas para usted. Mejor lo hacemos!
8
La opción más segura contra ataques de tipo XSS y SQL Injection es esta característica que he visto en una secuencia en PHP:
function protect($val) {
$val = addslashes($val);
$val = htmlspecialchars($val, ENT_NOQUOTES);
return $val;
}
foreach($_GET as $key => $val) { $_GET[$key] = protect($val); }
foreach($_POST as $key => $val) { $_POST[$key] = protect($val); }
foreach($_COOKIE as $key => $val) { $_COOKIE[$key] = protect($val); }
foreach($_SESSION as $key => $val) { $_SESSION[$key] = protect($val); }Este código se copia y pega tal cual en la parte superior de su archivo index.php
He aquí cómo usarlo:
mssql_query("SELECT * FROM MEMB_INFO WHERE memb___id ='".protect($_POST['UserName'])."'");9
.Htaccess
Esto sirve para aquellos que no quieren que vean su servidor web, es decir, si es un equipo con Windows o Linux. Todo ello se plasma a traves de páginas de error (incluso estas pueden ser personalizadas). Archivo .htaccess añadiendo en el interior de error: 400, 403, 404, 500 recuerde de ponerlo en el directorio raíz. Para los que no me ha entendido He aquí un ejemplo:
Utilización .Htaccess te daba un error 404 (página que falta) entonces debes poner el archivo 404.php en el directorio raíz y escribir en él lo que quieras que se vea.
Cita
Siempre que hagas cualquier script de base para seguridad, recuerde de utilizar la función de proteger esa variable. Esto es absolutamente todo lo necesario para proteger adecuadamente su sitio MuOnline. Usted no necesita otros scripts confusos, o extraños. Y recuerde, no es bueno meter 100 scripts o funciones de protección, porque uno mal configurado puede inutilizar al resto. Cuanto menos tenga y bien configurados, pues mucho mejor. Espero que esta guía te haya sido de mucha utilidad y de una vez por todas, no se líe con secuencias de comandos que usted no sabe como operan, solo ponga los absolutamente necesarios.
Si vas a copiar y pegar este Guía en otra web o foro, te pido solamente que cites al Autor.
Cualquier duda o comentario, haganla, pero no por MP ok!
Se Que esto no va Aki pero Tarde Mucho en azerlo y Decidi postearlo con Ustedes
