I apologize, sincerely
所有的WAMP-ers:
1 如果你不确定代码足够安全,千万不要留phpinfo的页面,或者你真的要留,也别用 info.php, phpinfo.php, test.php, 1.php, i.php ...
2 如果你PHP经验不足,那就强制转换所有的变量,或者,在入库前用 mysql/mysqli 等库自带的 real_string_escape 或者类似的函数,转义一下提交数据。
3 如果你的代码没有管理mysql全库的需求,例如管理用户之类的,那就用个单库权限的用户吧,千万不要给FILE权限。
4 如果你的Apache不需要用来管理系统,千万不要让它跑在默认的System权限下,建一个用户、改一改执行权限,没什么难的。
5 不管怎样,phpMyAdmin之类的东西,别放在那种常见的文件夹下
6 不管怎样,列目录的权限都得关掉,除非你确认能列的目录下没有敏感文件;或者你放个默认的空的index页都行
7 线上环境,不要开错误提示,或者至少说,错误提示不要能爆出脚本的物理路径。
8 明确地说,以eval、exec等为关键词查找php shell,是没用的
9 。。。。待续
然后我的开发环境是不安全的,只要你能找到我放的shell
最后
I apologize, sincerely
No comments:
Post a Comment