PHP.ini에서 기능 비활성화하기

PHP.ini에서 기능 비활성화하기

* 주의 : 쇼핑몰 카드결제가 안되는 경우가 있으므로, 확인후 적용

PHP에는 특정 위험 요소로 인해 사용자가 사용하지 못하도록하는 기능이 있습니다. 사용자가 특정 기능을 사용하지 않는다는 것을 알고 있더라도 공격자가 기능을 완전히 사용할 수 없게하는 것이 현명합니다. 이 보안 예방 조치는 어떻게 든 PHP 스크립트를 업로드하거나, 파일 시스템에 파일을 작성하거나, 원격 PHP 파일을 포함하는 공격자를 막을 때 특히 효과적입니다. 이 기능을 사용하지 않도록 설정하면 이러한 유형의 공격의 효과를 제한 할 수 있습니다. 물론 불평 할 사용자가 항상 있지만, 우리는 가상 사설 서버를 사용하고 그들이 원하는 스크립트를 실행할 것을 권고합니다.

disable_functions = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,posix_kill,posix_mkfifo,posix_getpwuid,posix_setpgid,posix_setsid,posix_setuid,posix_setgid,posix_seteuid,posix_setegid,posix_uname,pcntl_exec,expect_popen

전역 사용 안함

이 기능은 PHP 5.3.0부터는 사용이 권장되지 않았으며 PHP 5.4.0부터는 제거되었습니다. 그래서 이것은 요즘 문제를 일으키지 않을 것입니다.

register_globals = Off

원격 파일 포함 해제

공격자는 종종 응용 프로그램에서 파일 포함 취약점을 확인한 다음 작성한 악의적 인 PHP 스크립트를 포함시키기 위해이 파일을 사용합니다. 공격자가 웹 응용 프로그램 디렉토리에 대한 쓰기 권한을 가지고 있지 않더라도 원격 파일 포함이 활성화되면 공격자는 웹 응용 프로그램이 가져 와서 로컬에서 실행하는 동안 다른 서버에서 악의적 인 PHP 스크립트를 호스팅 할 수 있습니다!

우리는 호스팅 환경에서 url_fopen을 차단하지 않습니다. 왜냐하면 그것이 웹 사이트에 많은 문제를 야기 할 수 있기 때문입니다!

allow_url_fopen = On
allow_url_include = Off