Koliko je siguran PHP na vašem veb serveru?

Prilikom izrade sajtova, ono o čemu se često najmanje misli je sigurnost servera. Nažalost, vrlo je lako u PHP-u napraviti neku rupu preko koje napadač može da zloupotrebi sajt, odnosno server na kome je on postavljen.

Najvažnije je da je sam server podešen tako da je upad otežan ili onemogućen. Kako postoji mnogo načina da se upad izvede teško je sve to pratiti i proveravati.

U nastojanju da se posao provere olakša, PHP Security Consortium je objavio PHP skript PhpSecInfo koji proverava kako je sam PHP podešen i upozorava na moguće slabosti. Skript se koristi na sličan način kao i PHP funkcija phpinfo().

Ovaj skript ne pronalazi greške u vašem PHP programu, već proverava sam server, odnosno podešavanje PHP okruženja na serveru. Kada naiđe na neko podešavanje koje je rizično ili opasno, upozoriće vas i ponuditi objašnjenje u čemu se sastoji opasnost i kako da problem ispravite.

Tekuća verzija proverava podešavanja parametara:

• allow_url_fopen
• allow_url_include
• display_errors
• expose_php
• file_support
• file_uploads
• force_redirect
• group_id
• magic_quotes_gpc
• memory_limit
• open_basedir
• post_max_size
• register_globals
• save_path
• upload_max_filesize
• upload_tmp_dir
• use_trans_sid
• user_id

Isprovajte ovo na svom sajtu. Možda vam se potkrao neki ozbiljan propust koga niste svesni.

Kako se koristi

Upotreba skripte je vrlo jednotavna. Raspakujte je u osnovni dorketorijum sajta pa će kod skripte biti u direktorijumu /PhpSecInfo/. U osnovni dorektorijum stavite jedan PHP skript iz koga ćete pozvati novu funkciju:

<?php
   require_once('PhpSecInfo/PhpSecInfo.php');
   phpsecinfo();
?>

Kada pokrenete ovaj skript, biće vam prikazan detaljan test sigurnosti servera na kome se nalazi vaš sajt.

Ne zaboravite da, kada završite testiranje, uklonite ovaj skript sa sajta, pošto ne bi baš bilo zdravo da ga neko zlonameran nađe i iskoristi da sazna slabosti vašeg servera.