2007年7月10日火曜日

PHP.iniでのセキュリティ対策

 PHP.iniでできるセキュリティ対策のメモ。php.ini-recommendedをベースにするという前提で。

  • disable_functions = phpinfo
    とりあえずphpinfo()は禁止。開発環境なら許す。
  • expose_php = Off
    PHPを使っていることをhttpヘッダでクライアントに通知しない。これによりPHPの隠し機能(イースターエッグ!)も無効になる。
  • display_errors = Off
    エラーをWebページに表示しない。デフォルトはOffなので、そのままならOK。開発環境ではOnにする。
  • session.name = 独自の文字列
    セッションIDを独自の文字列にする。独自の文字列にしても丸見えなので効果は薄いが、やらないよりはいいだろう。
  • session.hash_function = 1
    セッションIDをSHA-1で生成する。最近、MD5は条件反射的に避けるようになってきた。

tags: ,

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)

ブログ アーカイブ

tags