IIS

Boas práticas de segurança com o php.ini


Introdução

Utilizar boas praticas de segurança para impedir ataques de SQL Injection, RFI, LFI e outros.

Pratica

Normalmente o php.ini esta armazenado em “C:Program Files (x86)phpphp.ini”, mas pode variar o local de armazenamento.

Pode ser que em algumas ocasiões as variáveis abaixo estejam habilitadas. Como uma pratica de segurança e’ necessários que essas variáveis estejam desabilitadas (Off), lembrando que ao desabilitar essas variáveis não impacta de forma alguma em seu ambiente. Portanto DESABILITE.

#VARIAVEIS

# Impede ataques de RFI e LFI ( Remote e Local File Inclusion )
allow_url_fopen = Off

# Impede que mensagens de erros sejam exibidas no browser
display_errors = Off

# Impede a execução de caracteres especiais digitados em campos de formulário convertendo-os em barra invertida. Protege contra ataques de SQL injection
magic_quotes_gpc = Off

# Impede o acesso a arquivos remotos através dos parâmetros include ou require, evitando injeção de código malicioso.
allow_url_include = Off

# Impede a exibição das informações sobre o PHP no browser
expose_php = Off

# Impede a execução de strings maliciosas devido as falhas no desenvolvimento da aplicação.
register_globals = Off

Referencias

//www.php.net/
//alexos.org

Erick Albuquerque | Moderator at Technet Brasil
//iisbrasil.wordpress.com/ | //erickalbuquerque.com.br/

IIS
[Microsoft Azure] Instalando e configurando o FTP Server no Microsoft Azure
Microsoft Azure
[Microsoft Azure] Removendo HTTP Response Header de WebApp, ApiApp e IIS
Microsoft Azure
[Microsoft Azure] Redirecionando HTTP para HTTPS em WebApp
  • fabio

    fabiofabio

    Author Responder

    Como sempre postando ótimos artigos,

    muito bom!!

    abs


  • Luiz Henrique Lima Campos

    Rsrsrs Show ajudou aqui um pessoal de desenvolvimento …

    Valeu Erick. só você mesmo pra Salvar.

    Atenciosamente,


    • iisbrasil

      Valeu!! Qualquer coisa estamos por aqui.

      Um abraço,


  • Jacó Ramos

    Olá pessoal agora estou com uma duvida.
    Para impedir a execução de caracteres especiais usa-se :

    magic_quotes_gpc = Off

    ou

    magic_quotes_gpc = On

    Grato.
    Jacó Ramos


    • iisbrasil

      Olá tudo bem?
      Deixe como Off..
      magic_quotes_gpc = Off

      []s


XPTO-WPC-MONITOR-TAG