A través del blog de capa tres encontramos un artÃculo donde se nos enseña a configurar correctamente el PHP para evitar ataques XSS (Cross Site Scripting). Tener mal configurado el php puede suponer un agujero de seguridad en nuestros servidores, como el reciente bug aparecido para xmlrpc.php que salió en varios CMS (WordPress, Drupal, etc..). Para prevenir nuestros servidores contra este tipo de ataques es conveniente usar nuestro PHP con la opción safe_mode habilitada. Esto se encarga de filtrar comandos y acciones que puedan comprometer la seguridad. Para hacer efectivas estas medidas primero debemos editar el fichero de configuración php.ini y a continuación el fichero de configuración de nuestro servidor web.
;Habilitamos Safe_mode
safe_mode = On
;Habilitamos el control de id de grupo
safe_mode_gid = On
;Path al que se limita la acción include
safe_mode_include_dir = /dominio/
;Path al que se limita la acción exec
safe_mode_exec_dir = /dominio/
;No se permiten variables globales
register_globals Off
;No permitir abrir archivos remotos
allow_url_fopen Off
;Habilitamos Magic quotes para datos GET/POST/Cookie entrantes
magic_quotes_gpc = On
;Habilitamos Magic quotes para el entorno de ejecución
magic_quotes_runtime = O
3 comentarios en “Configuración Segura para php”
Pese a estas medidas de seguridad, un error muy comun es poner un script php en ejecucion con propietario root (esto pasa cuando son servidores caseros). Y claro, una de las particularidades de safe_mode, es que no te permite abrir ficheros que no tengan el mismo id que el usuario que el propietario del script php, si el propietario es root, por allà se cuela el gato
Me explico fatal, pero creo que esta entendible.
No te has explicado mal, tienes mucha razón en tu comentario. Como siempre gracias por tus aportaciones
No siempre es posible securizar tanto el php, sobre todo porque muchos programadores son amigos de las variables globales.
Saludos de este bofh