PHP Konfiguration

Die PHP Konfiguration kann direkten Einfluß auf die verschiedensten Angriffsvarianten haben, schlecht konfigurierte Systeme ermöglichen darüberhinaus Angreifern oftmals sehr umfangreiche Möglichkeiten. Leider sind in der Grundinstallation viele "Sicherheits-Optionen" falsch gesetzt und werden vor dem produktiven Einsatz nicht kontrolliert.

Einige der wichtigsten Konfigurationseinstellungen im Überblick:

  • register_globals (off seit PHP 4.2, optimale Einstellung: off)
  • allow_url_fopen (on in der Grundeinstellung, optimale Einstellung: off)
  • magic_quotes_gpc (on in der Grundeinstellung, optimale Einstellung: off - siehe auch magic_quotes_gpc und SQL-Injektion)
  • magic_quotes_runtime (off in der Grundeinstellung, optimale Einstellung: off)
  • safe_mode and open_basedir (nicht aktiv in der Grundeinstellung, kann - falls richtig konfiguriert - aktiviert helfen, Risiken zu minimieren.)

Eine ersten Überblick über eventuelle Sicherheitsschwachstellen liefert unter anderem  zum Beispiel phpsecinfo.


Netzwerke