Колико је сигуран PHP на вашем веб серверу?

Приликом израде сајтова, оно о чему се често најмање мисли је сигурност сервера. Нажалост, врло је лако у ПХП-у направити неку рупу преко које нападач може да злоупотреби сајт, односно сервер на коме је он постављен.

Најважније је да је сам сервер подешен тако да је упад отежан или онемогућен. Како постоји много начина да се упад изведе тешко је све то пратити и проверавати.

У настојању да се посао провере олакша, PHP Security Consortium је објавио PHP скрипт PhpSecInfo који проверава како је сам PHP подешен и упозорава на могуће слабости. Скрипт се користи на сличан начин као и PHP функција phpinfo().

Овај скрипт не проналази грешке у вашем PHP програму, већ проверава сам сервер, односно подешавање PHP окружења на серверу. Када наиђе на неко подешавање које је ризично или опасно, упозориће вас и понудити објашњење у чему се састоји опасност и како да проблем исправите.

Текућа верзија проверава подешавања параметара:

• allow_url_fopen
• allow_url_include
• display_errors
• expose_php
• file_support
• file_uploads
• force_redirect
• group_id
• magic_quotes_gpc
• memory_limit
• open_basedir
• post_max_size
• register_globals
• save_path
• upload_max_filesize
• upload_tmp_dir
• use_trans_sid
• user_id

Испровајте ово на свом сајту. Можда вам се поткрао неки озбиљан пропуст кога нисте свесни.

Како се користи

Употреба скрипте је врло једнотавна. Распакујте је у основни доркеторијум сајта па ће код скрипте бити у директоријуму /PhpSecInfo/. У основни доректоријум ставите један PHP скрипт из кога ћете позвати нову функцију:

<?php
   require_once('PhpSecInfo/PhpSecInfo.php');
   phpsecinfo();
?>

Када покренете овај скрипт, биће вам приказан детаљан тест сигурности сервера на коме се налази ваш сајт.

Не заборавите да, када завршите тестирање, уклоните овај скрипт са сајта, пошто не би баш било здраво да га неко злонамеран нађе и искористи да сазна слабости вашег сервера.