Home » Die Sicherheitseinstellungen innerhalb der php.ini

Das Tippsforum

Du brauchst noch mehr Hilfe bei einem bestimmten Thema? Du hast einen unserer Tipps ausprobiert, aber es funktioniert immer noch nicht? Dann ist unser Tippsforum genau das richtige für dich.
Link zum Forum

Die Sicherheitseinstellungen innerhalb der php.ini

Geschrieben in Wichtige Informationen am 11 Februar 2009

Viele hören ja immer wieder die Worte “Mach die Register Globals aus!” oder “Wieso ist Safe Mode bei dir aus?”. In dieser kleinen Anleitung werde ich euch einmal schildern, welche Einstellungen in der php.ini wirklich wichitg sind. Dazu braucht man noch nicht einmal Root-Zugriff, da viele dieser Sicherheitseinstellungen sich auch Pleask und Confixx einstellen lassen. Aber jetzt genug der Worte und fangen wir mal mit dem einstellen an.

Register Globals bleibt immer aus

Die wichtigste Einstellung ist auf jeden Fall die, dass register_globals unbedingt aus bleiben sollte. sollte diese Funktion an sein kann jede beliebige Variable durch eine einen $_GET oder $_POST verändern. Das kann zu enormen Sicherheitsproblemen innerhalb einer Anwendung kommen.

Allow URL Fopen gehört auch nur aus

Auch die Einstellung allow_url_fopen sollte ausgestellt werden. Durch diese Funktion lassen sich externe Dateien auf dem eigenen Server nachladen. Allerdings brauchen einige Scripte diese Funktion um Beispielsweise einen Versionsvergleich durchzuführen.

Mit Safe-Mode sicher unterwegs

Wenn safe_mode on ist kann der Benutzer nur noch auf eigeneDateie zugreifen. Zudem werden gefährliche Funktionen wie exec() gesperrt.

Lass deinen Feind nichts sehen, lass Display Errors aus

Wenn man die Funktion display_errors deaktiviert können die Besucher Fehler der Webseite nicht mehr sehen. Dies sieht nicht nur für die Besucher schöner aus sondern sorgt auch dafür, dass ein potentielles Scriptkiddy nicht über die Ordnerstruktur herausbekommt. Dies ist für einige Angriffe nötig.

Escaped im vorraus, dafür ist Magic Quotes gut

Mit der Einstellung magic_quotes_gpc lassen sich sowohl Single-Quotes(‘) als auch Double-Quotes(“) mit einem Backslash versehen. So wird auch ‘ nacher \’ und aus ” wird \”. Dies ist gut zur Verhinderung von SQL-Injectionen.

Und nochmal zum mitschreiben

register_globlas = off

allow_url_fopen = off

safe_mode = on

display_errors = off

magic_quotes_gpc = on

Wer weitere wichtige Sicherheitseinstellungen kennt kann mir diese gerne in den Kommentaren mitteilen. Ich freue mich über jegliches Feedback.

Verwandte Artikel

  • Keine verwandten Artikel
4 Kommentare

4 Kommentare to 'Die Sicherheitseinstellungen innerhalb der php.ini'

Kommentare abonnieren per RSS or TrackBack to 'Die Sicherheitseinstellungen innerhalb der php.ini'.

  1. Nebrosh said,

    on Februar 12th, 2009 at 18:13

    Hallo,
    wo genau kann ich diese Einstellungen vornehmen? Ich benutze Confixx und kann diese nicht finden.

    MfG Sven

  2. Sebastian said,

    on Februar 13th, 2009 at 17:31

    Hi,
    du kannst diese Einstellung normalerweise unter httpd-Spezial ändern. Sollte die Funktion nicht zur Verfügung stehen musst du am besten mal deinen Hoster fragen ob er dir das freischalten kann.

    Grüße
    Sebastian

  3. th said,

    on Februar 21st, 2009 at 19:50

    Unter dem Punkt “Und nochmal zum mitschreiben” sind etliche Schreibfehler drin…

  4. Sebastian said,

    on Februar 21st, 2009 at 20:04

    Hallo,
    ich hoffe ich habe nun alle Rechtschreibfehler gehoben. Das kommt davon, dass man einmal an einem fremden Computer schreibt wo es kein Wörterbuch Addon für Firefox gab.

    Grüße
    Sebastian

Kommentieren

XHTML: Du kannst folgende Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre lang="" line="" escaped="">