繁体 English 中英

在共享主机上使用SECURELY的任何PHP框架？

[英]Any PHP framework to use SECURELY on shared hosting?

原文 2011-10-15 08:59:55 6 4 php/ zend-framework/ codeigniter/ cakephp/ symfony1

是否有PHP框架允许我生成一个应用程序，然后在共享主机上安全地使用它，只要可以实现共享主机安全性？ 我的意思是，例如，不需要任何具有777访问权限的app / tmp目录。

不是Symfony - > http://trac.symfony-project.org/wiki/SharedHostingNotSecure

不是CakePHP - > http://book.cakephp.org/view/911/Permissions

CodeIgniter - >“如果你是一个开发人员，住在真实的共享主机帐户和有最后期限的客户......” - 看起来很有希望，也许这个？ 但是我在文档中找不到任何特定于共享主机文件权限的内容

也许ZendFramework？ （我不确定它是否与PHP框架属于同一类，看起来像）

任何现有的可能框架在共享托管上使用SECURELY？

4 个解决方案

你从错误的角度看待正确的问题。

拥有权限777的目录本身并不是不安全的。

在共享主机上具有777'目录是不安全的，因为 http守护程序是针对同一系统帐户下的所有客户端运行的。

它是共享主机的内在“特征”，这就是它最便宜的原因。 是的，它没有什么便宜，它以安全的价格便宜。

如果安全性对您很重要，请购买VPS。 如今VPS足够便宜。

必须声明具有777权限的目录只是cheapo和入门级共享主机系统的问题。 在该区域中看到safe_mode hack和openbasedir限制是很常见的，这只限制了通过PHP而不是其他CGI解释器的访问。

当代服务器设置使用suexec / suphp ，其中每个PHP脚本都以当前帐户权限运行。 因此，您不需要任何世界编写目录，并且大多数PHP应用程序至少应该是安全的，以防止跨帐户篡改。 框架本身在这里没有任何区别。

我建议使用Zend Framework 。 据我所知，不需要任何文件权限。 只需要一些适当的配置。 是的，它是一个PHP框架。 我的整个库都在root用户之下，对每个人都有读取权限，并且工作正常。 永远不需要chmod任何东西。 当涉及到库时，如果类需要它，您可以随时定义自己的tmp路径。

最成功的攻击发生是因为用户/管理员坚持使用默认值; 这是众所周知的。 查看Windows攻击。 令人难以置信的是，有多少“管理员”不仅保留默认URL，默认目录结构，还保留用户ID和密码。 在我的网站上，我反复看到一些登录尝试/wp-login.php，ID为：PW：admin：admin。 我甚至不知道这些是否是默认值，我的网站甚至不是WP，但它似乎是，我认为那些黑客每隔一段时间就会变得幸运。