Seguridad en nuestras aplicaciones PHP (parte dos)

Hace unos días un dimos unas directrices para que nuestra aplicación creada en php fuera más segura. Hoy vamos a ampliar dicha información con unos consejos más:

Evitar que se muestre la información de PHP

Si tenemos una pagina php cuyo contenido sea <? phpinfo() ?> al ejecutarla en nuesto servidor, obtendremos toda la información de PHP, módulos activos, rutas, datos de configuración, etc.

Para desactivar esta opción deberemos buscar “expose_php” en nuestro fichero php.ini y ponerlo a Off:

expose_php = Off

Utilización del Safe Mode

Por defecto el Safe_mode está “On” aunque la mayoria de CMS o aplicaciones web necesitan que esta directiva esté a “Off”. Esta directiva es para que los scripts PHP únicamente puedan acceder a los ficheros que tienen como propietario el mismo que ellos para evitar, por ejemplo, que tengan acceso de lectura a ficheros de sistema. Esto puede ser un problema en el momento que necesitamos acceder a información generada por otros usuarios en el sistema. La solución será la siguiente:

safe_mode = Off
safe_mode_gid = On

Si activamos safe_mode_gid en lugar de safe_mode, en lugar de revisar el usuario se revisará el grupo.

Visualizar los errores PHP

Para eliminar los mensajes de error que puedan servir de pista para los usuarios que puedan estar haciendo un mal uso de nuestros scripts desactivaremos la opción de mostrar los errores php:

display_errors = Off

Guardar los logs de los errores PHP

Si hemos desactivado “display_errors” podemos activar la opción para que dichos errores se guarden en un fichero log. Para ello deberemos escribir lo siguiente:

log_errors = On

error_log = /ruta/fichero/log

Os recordamos que para más información debéis acudir a la página oficial de php.

Facebooktwittergoogle_plus