PHP es a menudo la fuente de dolores de cabeza de los administradores de sistemas, sin embargo algunos sencillos ajustes pueden hacer mucho más seguras las aplicaciones PHP.

Existen varias formas de ejecutar PHP (dso, suphp, fastcgi, etc) por lo que en este artículo nos centraremos en los ajustes de seguridad recomendados para el archivo php.ini.

disable_functions=apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv,disk_free_space, diskfreespace, dl, highlight_file, ini_alter, ini_restore, openlog, passthru, proc_nice, shell_exec, show_source, symlink, system
register_global=0
allow_url_fopen=0

open_basedir debe apuntar a el directorio de usuarios, sin embargo está configuración (si es un servidor web de hosting) probablemente no se haga en el archivo php.ini sino en la configuración del host virtual o directamente en el panel de control (cPanel).

No recomendamos el uso de safe_mode, a menos que PHP esté corriendo como fastcgi, safe_mode tiende a crear más problemas que los que resuelve.

Existen otras técnicas para asegurar las aplicaciones PHP, sin embargo estos pequeños ajustes deben dar una buena protección en un servidor que ha sido protegido adecuadamente.

He encontrado un interesante artículo en español, acerca de la seguridad php desde el punto de vista del programador, es fácil de entender y pone varios ejemplo acerca de lo que no debe hacerse (click aquí)

No related posts.