Boas práticas de segurança com o php.ini
Introdução
Utilizar boas praticas de segurança para impedir ataques de SQL Injection, RFI, LFI e outros.
Pratica
Normalmente o php.ini esta armazenado em “C:Program Files (x86)phpphp.ini”, mas pode variar o local de armazenamento.
Pode ser que em algumas ocasiões as variáveis abaixo estejam habilitadas. Como uma pratica de segurança e’ necessários que essas variáveis estejam desabilitadas (Off), lembrando que ao desabilitar essas variáveis não impacta de forma alguma em seu ambiente. Portanto DESABILITE.
#VARIAVEIS
# Impede ataques de RFI e LFI ( Remote e Local File Inclusion )
allow_url_fopen = Off
# Impede que mensagens de erros sejam exibidas no browser
display_errors = Off
# Impede a execução de caracteres especiais digitados em campos de formulário convertendo-os em barra invertida. Protege contra ataques de SQL injection
magic_quotes_gpc = Off
# Impede o acesso a arquivos remotos através dos parâmetros include ou require, evitando injeção de código malicioso.
allow_url_include = Off
# Impede a exibição das informações sobre o PHP no browser
expose_php = Off
# Impede a execução de strings maliciosas devido as falhas no desenvolvimento da aplicação.
register_globals = Off
Referencias
//www.php.net/
//alexos.org
Erick Albuquerque | Moderator at Technet Brasil
//iisbrasil.wordpress.com/ | //erickalbuquerque.com.br/
Comments
fabio
AuthorComo sempre postando ótimos artigos,
muito bom!!
abs
Luiz Henrique Lima Campos
AuthorRsrsrs Show ajudou aqui um pessoal de desenvolvimento …
Valeu Erick. só você mesmo pra Salvar.
Atenciosamente,
iisbrasil
AuthorValeu!! Qualquer coisa estamos por aqui.
Um abraço,
Jacó Ramos
AuthorOlá pessoal agora estou com uma duvida.
Para impedir a execução de caracteres especiais usa-se :
magic_quotes_gpc = Off
ou
magic_quotes_gpc = On
Grato.
Jacó Ramos
iisbrasil
AuthorOlá tudo bem?
Deixe como Off..
magic_quotes_gpc = Off
[]s