Biztonságos PHP - PhpSecInfo
A PHP mint bármely másik script nyelv potenciális veszélyt jelent szerverünk számára.. Biztos sokaknak meggyűlt már a baja a komisz fopen függvénnyel.. elég egy rossz beállítás és máris olvasható az összes rendszerfájl.. és akkor már mit sem ér a jól beállított apache, a tűzfal, és a többiek. Nem árt, ha egy ilyen professzionálisnak nem is - de hasznosnak mindenképp- mondható kis eszközzel mint a phpsecinfo, leellenőrizzük a php.ini beállításait.
A PhpSecInfo nem más, mint a PHP Security Consurtium nagyon hasznos projektje, melynek célja, hogy a legismertebb és főként figyelmetlenségből nyitva hagyott konfigurációs kiskapukat számunkra is láthatóvá tegye.. Hogy ki mire használja az már a maga dolga, de én most white hat szemszögből próbálom bemutatni a utility-t.
A PhpSecInfo tulajdonképpen egy biztonsági ellenőrző script halmaz, mely vizsgálódásainak eredményét a phpinfo()-hoz hasonló könnyen átlátható listában közli velünk. Gyakorlatilag egyszerűen felmásoljuk a PHP Security Consurtium weboldaláról letöltött zip tartalmát és a böngészőnkben már látjuk is az eredményt és az esetleges problémákra javasolt megoldásokat.
Használjátok, terjesszétek! További hasznos olvasmányok a témában ugyanitt: PHP Security Guide