Ti sei ricordato di disattivare la direttiva allow_url_fopen quando non strettamente necessario che file_get_contents() si connetta ad un indirizzo remoto?
memory_limit è impostato con un valore che prevenga attacchi al server in grado di renderlo inutilizzabile da sovraccarico di risorse?
Ma soprattutto... quali altre impostazioni possono esporre la vostra installazione di PHP a pericoli e malintenzionati?
L'altro ieri PHP Security Consortium ha rilasciato la seconda versione di PhpSecInfo, una funzione equivalente a phpinfo() ma completamente dedicata alla sicurezza.
PhpSecInfo() esegue una lista di test e fornisce una risposta dettagliata su quali configurazioni potrebbero essere migliorate per rendere più sicura la vostra installazione di PHP.
Per ogni test la risposta fornita è
- pass (verde, configurazione sicura)
- notice (giallo, configurazione a rischio)
- warning (rosso, configurazione pericolosa)
Allora? Qual'è il responso? I risultati del vostro test sono a prova di hacker?
Ora vi lascio, devo correre a correggere qualche impostazione del php.ini! :|
