PHP.ini - Wie sieht eure php.ini aus?

[de_bonner]

Guten Morgen,

Ich habe unter einen Artikel zur php.ini geschrieben. Mich würde interessieren ob Ihr noch weitere Empfehlungen habt?

Grüße

 

[neudenk]

Warum schreibst nicht: hey, ich bin stolz auf mein Artikelchen?
So klingts für mich wie billige Werbung.
Bitte nicht böese sein...

 

[de_bonner]

Was ist das für eine Antwort? Aber naja, wenn dem so sein soll, dann gut!

 

[Pixelaner]

Moin,

ich find das Thema recht interessant und eine Frechheit wie neudenk sich hier zu Wort meldet. Hab mir den Artikel mal gespeichert und lese ihn mir später durch.

Vielen Dank für Deine Bemühungen.

MfG
Chris

 

[eyeeye]

Finde ich gut wenn jemand sich Gedanken um das Thema Sicherheit macht.
Und besser wenn er seine Gedanken anderen zur Verfügung stellt.

 

[Frit]

display_errors hab ich eigentlich immer an, weil man als Entwickler nicht immer gleich eine Log-Datei öffnen muss (und das auch gerne mal wieder vergisst) ansonsten ist meine Standardeinstellung ziemlich gleich mit php.ini-development. Ich habe mal ein paar kleine Umstellung getestet, weil ich gerne mit PostgreSQL arbeite, aber die braucht man eigentlich gar nicht. Für die Datenbankverbindung hab ich mir dann eine zusätzliche Klasse geschrieben ... funktioniert so ganz prima.

Sicherheitslücken treten wohl eher im Zusammenspiel mit einer verwendeten Datenbank auf, nicht im alltäglichen Betrieb eines Servers, der vor allem statischen Inhalt liefert. Also: Mögliche Injections abfangen (das geht ganz gut per Escaping und/oder Regular Expressions im PHP Code). Stored Procedures können auch helfen, aber da nimmt man besser keine MySQL-DB ...

Tschö, Uli aka Frit

 

[de_bonner]

Sehr schöne Antwort Gefällt mir, aber dies sind natürlich nur Grundeinstellungen. PHP in Verbindung mit MySQL wird natürlich noch viel interessanter für Angreifer. Ein wirklich sicheres System gibt es wohl nicht, aber warum sollte man diese einfachen Einstellungen ignorieren.

Aber php und statischer Inhalt ? Dann kann ich auch HTML nehmen und brauche kein php. Php liefert meinem Kenntnisstand immer dynamischen Inhalt, wenn auch nur minimal.

Danke für den Gedankenaustausch - freue mich.

 

[Orlandoo]

Na ja, ein wenig verstehe ich die Antwort von neudenk schon - ist ja wohl der dreiundzwanzigtausendsiebenhundertachtundneunzigste Artikel zu dem Thema, wenn ich die englischsprachigen mitzähle. Man kann es aber auch netter ausdrücken
Bezüglich der Einstellungen: es kommt ja auch darauf an, ob sie für einen lokalen Entwicklungsserver oder ein Produktivsystem gelten sollen - ein Produktivserver sollte durchaus restriktivere Einstellungen haben.
Bei dem Artikel hätte ich schon beinahe nicht weitergelesen: "Nach vorsichtiger Schätzung erfolgt ein Großteil der Angriffe auf den Webspace über PHP …" Bla bla, ohne auf Quellen zu verweisen, und wenn die Aussage tatsächlich stimmt dann deshalb, weil die meisten dynamischen Seiten auf PHP nicht nicht Python oder Java oder sonstwas zurückgreifen.
Auf die Pfadangabe zur php.ini hättest Du besser verzichtet. Je nach Linux-Distribution und nach Geschmack des Administrators kann der Pfad völlig anders sein.
Die Sammlung der sicherheitsrelevanten Einstellmöglichkeiten hast Du brav abgearbeitet, aber auch nichts wirklich neues gefunden. Welche Einstellugen man nun wie setzt hängt ja immer vom aktuellen Bedarf ab - wichtig ist nur, dass man die relevanten Einstellungen auch kennt.
Wie meine php.ini aussieht ändert sich also von Fall zu Fall.

 

[neudenk]

Sorry, wenn ich das so komisch ausgedrückt habe.
Vielen Dank an Orlandoo, der das ausdrückt, was mir in den Kopf kam, als ich das Teil geöffnet habe.
Also bitte nicht auf den Schlips getreten fühlen, ich war nur etwas verwundert und hab das ungeschickt ausgedrückt.
Noch: Tschuldigung für die Kürze im Ausdruck.