php.iniで基本的なセキュリティ対策

高瀬 裕介 2,843views 更新:2013年6月7日

一部関数の制限

disable_functions = phpinfo,eval

HTTPヘッダーにPHPを表示しない

expose_php = Off

エラーをWebページに表示しない

display_errors = Off

セッションIDを独自の文字列にする

session.name = 独自の文字列

セッションIDをSHA-1で生成する

session.hash_function = 1

可能であれば下記設定もおこなう

register_globals = Off
magic_quotes_gpc = Off
default_chaset = "UTF-8"
error_reporting=E_ALL
open_basedir="/var/www/" (HP によって開くことができるファイルを特定のディレクトリに制限します。)
enable_dl=Off
file_uploads=Off (ファイルアップロードの許可)
allow_url_fopen=Off (ファイルを開く関数(fopen(), file(), include(), ...) で http://... などの URI でもファイルと同様に開ける)
allow_url_include=Off
session.save_path="/var/www/symfony/tmp" (セッションの保存場所を指定します。他のユーザからファイルの一覧が見えるような場所を 設定すべきではありません。)
session.hash_function=1

ログイン / 新規登録してコメントする

このソースコードをストックして後で利用したり、作業に利用したソースコードをまとめることができます。

こちらもお役に立つかもしれません