PHP Konfiguration
Die PHP Konfiguration kann direkten Einfluß auf die verschiedensten Angriffsvarianten haben, schlecht konfigurierte Systeme ermöglichen darüberhinaus Angreifern oftmals sehr umfangreiche Möglichkeiten. Leider sind in der Grundinstallation viele "Sicherheits-Optionen" falsch gesetzt und werden vor dem produktiven Einsatz nicht kontrolliert.
Einige der wichtigsten Konfigurationseinstellungen im Überblick:
- register_globals (off seit PHP 4.2, optimale Einstellung: off)
- allow_url_fopen (on in der Grundeinstellung, optimale Einstellung: off)
- magic_quotes_gpc (on in der Grundeinstellung, optimale Einstellung: off - siehe auch magic_quotes_gpc und SQL-Injektion)
- magic_quotes_runtime (off in der Grundeinstellung, optimale Einstellung: off)
- safe_mode and open_basedir (nicht aktiv in der Grundeinstellung, kann - falls richtig konfiguriert - aktiviert helfen, Risiken zu minimieren.)
Eine ersten Überblick über eventuelle Sicherheitsschwachstellen liefert unter anderem zum Beispiel phpsecinfo.