PHP应用程序隔离?

【问题标题】:PHP application isolation?PHP应用程序隔离?
【发布时间】:2014-06-30 16:16:38
【问题描述】:

我目前正在构建一个简单的 CMS,我想尽可能地隔离它。该应用程序本身将具有 php 登录功能,但是我正在考虑利用 Apache 内置安全性添加一层安全性。

使用集成的 apache 密码检查来隔离服务器上的 PHP 目录有多安全?一般的逻辑是 Apache 的安全性应该很难破解。

谢谢!

【问题讨论】:

  • 所以你是说你不信任自己的验证码?
  • 让我们看看...我现在正在学习 PHP 一个月,并且我正在制作一个 CMS 以上线。--当然,我不相信我的代码! :) 作为一名系统管理员,我有一段时间认为我永远不应该对任何技术过于确定,无论它看起来实现得多么好。 Heartbleed 最近为我们上了一两课,所以我正试图用我有限的知识尽我所能来证明我的代码。
  • Hearthbleed 并不是真正的“哇,看起来真的很好实现”的案例:P
  • 是的,是的,但是如果他们内置了另一层安全性呢?即使是微不足道的额外保护层也可以防止违规。

标签: php apache security isolation


【解决方案1】:

我了解您对正在编写的代码的担忧。最好在 localhost 上工作,直到你确定你的代码,但是你可以做什么:

  1. 密码保护您的文件夹(可被嗅探)。
  2. 通过 IP 限制您的文件夹访问(可以伪造)
  3. 让这个 php 脚本作为一个单独的用户运行,该用户仅对该文件夹具有访问权限,因此即使您有安全漏洞,它也不会影响您的服务器或在其上运行的其他脚本。
  4. 确保您使用的数据库用户仅对您的测试数据库具有权限。
  5. 创建一个假域,在您的 hosts 文件中添加一条记录,并让您的脚本只能从该域访问(例如:app.staging.lo)

所有这些结合起来将足够安全,可以让您远离麻烦。

【讨论】:

  • 谢谢;将能够玩其中的几个。由于主机限制(云服务、有限设置),我无法使用第 2、3 和 4 个想法。由于只有一个用户,我正在考虑在 5 次尝试后将 any 登录过程锁定 10 分钟。我想,结合你的预防措施可能就足够了。我想我最关心的是自动暴力攻击。 - 谢谢!
猜你喜欢
  • 2011-02-21
  • 1970-01-01
  • 2014-06-29
  • 1970-01-01
  • 2016-06-10
  • 2018-06-20
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode