Sicherheitseinstellungen von PHP prüfen

23.10.2006

Mit PHPSecInfo vom PHP Security Consortium kann man die Konfiguration einer PHP-Installation auf mögliche Schwachstellen überprüfen.

PHPSecInfo möchte unerfahrene Server-Admins und Entwicklern einen leichten Überblick über die sicherheitsrelevanten Konfigurationseinstellungen von PHP bieten.

Anhand farbiger Markierung ist auf den ersten Blick zu erkennen, ob eine Einstellung ein Sicherheitsrisiko birgt (rot und orange) oder sicher ist (grün). Neben der farblichen Markierung gibt eine Erklärung, zur Zeit nur auf Englisch, darüber Aufschluss, was diese Einstellung gefährlich macht, und hinterfragt, ob die aktuelle Einstellung wirklich benötigt wird.

Diese Einstellungen werden in der aktuellen Version geprüft:

• cgi.force_redirect
• allow_url_fopen
• display_errors
• expose_php
• file_uploads
• magic_quotes_gpc
• memory_limit
• open_basedir
• post_max_size
• register_globals
• upload_max_filesize
• upload_tmp_dir
• session.use_trans_sid
• sowie der User und die Gruppe unter dem PHP ausgeführt wird.

PHPsecInfo ist modular aufgebaut und kann von jedem durch weitere Tests ergänzt werden. Informationen dazu, wie auch die Mailingliste finden sich auf der Internetseite des Projekts: http://phpsec.org/projects/phpsecinfo/.