Приликом израде сајтова, оно о чему се често најмање мисли је сигурност сервера. Нажалост, врло је лако у ПХП-у направити неку рупу преко које нападач може да злоупотреби сајт, односно сервер на коме је он постављен.
Најважније је да је сам сервер подешен тако да је упад отежан или онемогућен. Како постоји много начина да се упад изведе тешко је све то пратити и проверавати.
У настојању да се посао провере олакша, PHP Security Consortium је објавио PHP скрипт PhpSecInfo који проверава како је сам PHP подешен и упозорава на могуће слабости. Скрипт се користи на сличан начин као и PHP функција phpinfo().
Овај скрипт не проналази грешке у вашем PHP програму, већ проверава сам сервер, односно подешавање PHP окружења на серверу. Када наиђе на неко подешавање које је ризично или опасно, упозориће вас и понудити објашњење у чему се састоји опасност и како да проблем исправите.
Текућа верзија проверава подешавања параметара:
- allow_url_fopen
- allow_url_include
- display_errors
- expose_php
- file_support
- file_uploads
- force_redirect
- group_id
- magic_quotes_gpc
- memory_limit
- open_basedir
- post_max_size
- register_globals
- save_path
- upload_max_filesize
- upload_tmp_dir
- use_trans_sid
- user_id
Испровајте ово на свом сајту. Можда вам се поткрао неки озбиљан пропуст кога нисте свесни.
Како се користи
Употреба скрипте је врло једнотавна. Распакујте је у основни доркеторијум сајта па ће код скрипте бити у директоријуму /PhpSecInfo/. У основни доректоријум ставите један PHP скрипт из кога ћете позвати нову функцију:
<?php require_once('PhpSecInfo/PhpSecInfo.php'); phpsecinfo(); ?>
Када покренете овај скрипт, биће вам приказан детаљан тест сигурности сервера на коме се налази ваш сајт.
Не заборавите да, када завршите тестирање, уклоните овај скрипт са сајта, пошто не би баш било здраво да га неко злонамеран нађе и искористи да сазна слабости вашег сервера.
O, hvala ti Pedja – ovakva informacija mi je bas trebala! Isprobacu je.
Наравно, увек постоји више начина да се одради неки посао, ја сам овај препоручио пре свега јер не тражи никакво петљање око инсталација, не зависи од веб читача и доступан је са било ког рачунара.
Ja sam odavno (2006) napravio nesto slicno samo na nasem jeziku: http://www.security-net.biz/wsw/index.php?p=218&n=195
Ако се не варам то је превод PHPSecInfo скрипте? Кул, некоме ће значити што је све преведено на српски.
Nije bas samo prevod, napisao sam svoj kod i spakovao sve u jedan fajl. Ali da, ideju sam dobio od PHPSecInfo skripte ;)