-
Serveru drošība
Конспект11 Компьютеры, программирование, электроника, Коммуникации, транспорт, связь
Tomēr ja ir nepieciešams lietot PHP 5.4.0 vai vecāku versiju, atkarībā no lietojamiem ietvariem (jo visi to neatbalsta), varētu apsvērt arī PHP safe mode ieslēgšanu, kas ierobežo skriptu izpildes tiesības[27].
Lai izvairītos no pārāk liela sistēmas noslogojuma (piemēram, DDoS gadījumā), jāieslēdz arī ierobežojumi, kas nepieļauj pārāk lielu individuālo skriptu izpildes laiku vai resursu patēriņu. To ir iespējams izdarīt ar max_execution_time parametru, kā arī memory_limit parametru. Vēl šeit var palīdzēt maksimālo POST pieprasījumu satura izmēru iestatīšana, ko var izdarīt ar post_max_size komandu. Līdzīgi, vajadzētu iestatīt arī maksimālo augšupielādēto failu izmēru ar upload_max_filesize.
Tāpat produkcijas kodā ir nepieciešams atslēgt kļūdu izvadi HTML, jo pretējā gadījumā ārējiem lietotājiem kļūs pieejama informācija par skripta saturu, kas var būt par lielu drošības risku (jo īpaši tad, ja nav atslēgta magic quotes funkcionalitāte).
Ja ir nepieciešamība pēc vēl lielākas drošības, pastāv iespēja konfigurācijā atslēgt individuālās PHP valodas komandas, piemēram exec(), kas atļauj palaist tekstu kā PHP koda fragmentu. To ir iespējams izdarīt ar disable_functions komandu.
Runājot par pašu programmēšanu, ļoti noderīgi būtu atcerēties, ka drošāk ir izmantot kādu no jau gatavajiem lietotāja autentifikācijas risinājumiem, piemēram, uLogin PHP[28], PHP-Auth[29], vai arī funkcionalitāti, kas pieder lielākiem ietvariem, piemēram Symfony[30], lai nav jāriskē ar tik kritiskas funkcionalitātes sliktu implementāciju neuzmanības dēļ.
Svarīga ir arī ievades datu validācija, pretējā gadījumā ļaunprātīgi noskaņoti lietotāji var izpildīt koda injekciju, piemēram, padodot teksta laukam ne tikai vērtību, bet arī SQL kodu, kas tiks izpildīts uz servera un ļaus izmainīt lietojuma darbību.
Datu bāzu gadījumā to var novērst, izmantojot PDO vai MySQLi priekš savienojuma izveidošanas[31], kas atļauj veidot sagatavotus vaicājumus, kuros injekcija nav iespējama. Lai nu kā, vajadzētu arī citviet atcerēties, ka lietotāja ievadei nedrīkst uzticēties – neizmantot eval() funkciju ar nedrošiem datiem un saprasta atšķirību PHP starp vienkāršām un dubultām pēdiņām, jo pirmajā gadījumā ievietojot saturā mainīgo nosaukumu tas netiks interpretēts, taču otrajā tiks atgriezta mainīgā vērtība.
…
Mūsdienās pasaule kļūst arvien vairāk un vairāk savienota – kopš 2005. gada kopējais interneta lietotāju skaits ir pieaudzis vairāk kā 3 reizes, savukārt reģistrēto mājaslapu skaits ir vairāk kā desmitkāršojies. Tas nozīmē, ka drošība ir svarīgāka kā jebkad iepriekš – šīs izaugsmes dēļ izstrādātājiem ir pieejama lielāka daudzveidība tehnoloģiju, taču tajā pat laikā ir vairāk arī drošības trūkumu, kam var būt nopietnas sekas. 2015. gadā vien tika nozagta personīgā informācija vairāk kā 500 miljoniem cilvēku. Tīklam pieslēgtās ierīces vienmēr radīs zināmu risku, taču neatkarīgi no to mēroga vai nozīmības katram vajadzētu iepazīties ar tipiskākajiem draudiem to drošībai un metodēm, kas atļauj tos minimizēt, lai neriskētu ar savu datu zaudēšanu un nepieļautu to, ka kāds ļaunprātīgi pārņem kontroli pār ierīci.
