اموزش تصویری بالا بردن امنیت php

[ViToN]

با سلام و عرض وقت بخیر

سوالاتی در این تاپیک شده بود که استارتر گرامی پاسخ نداده بودند , به همین منظور بنده جسارت کردم و جهت رشد علمی انجمن در این زمینه به ترتیب ذیل به سوالات پاسخ داده شد .

با سلام
برخی از مواردی که فرمودید خیلی قدیمی است و دیگر در نسخه های php کنونی جوابگو نیست .
یک سوال هم دارم . میشه بگید دقیقا برخی از توابع که فرمودید مانند hell دقیقا چه کار می کند و با disable کردن این تابع از چی جلوگیری می کند ؟
با تشکر

بله , تقریبا دیگر موارد اشاره شده تاثیر چندانی ندارد (منظور در ورژن های جدید PHP و فعال بودن آپشن suexec است ) .
اما نکته اینجاست که براحتی قابل بایپس شدن است . در رابطه با سوالی که طرح نمودید تابع shell یک فانکشن manual هست و در چند شلر پرکاربرد استفاده شده است . با disable کردن این تابع قسمتی از شلر بدرستی کار نمیکند و عملا برای نوب ها پایان کار دسترسی گرفتن است! از این دست فانکشن ها زیاد دیده میشود که توجه ای به ان ها نمیشود و عملا با اپلای و نصب یک سری از Sec Patch ها عملا دیگر نیاز به قرار دادن حتی یک فانکشن در قسمت disable_function نمیباشد . انشا.. فرصتی باقی باشد مقالات و متود هایی که در این زمینه در چنته دارم را در انجمن قرار خواهم داد .

در این مورد میشه بیشتر توضیح بدید ؟

با استفاده از متودی که استارتر پست کردن session ها به صورت سیف با تعیین مسیر مشخص اجرا میشوند و جلوی کثیری از حملات XSS که موجب ***یده شدن کوکی ها و در نهایت دسترسی میشود گرفته میشود .