推薦：配置Apache 1.3或者Apache 2.0服務(wù)器的5個(gè)技巧
本文提出了配置Apache 1.3或者Apache 2.0服務(wù)器的5個(gè)技巧。我們將闡述以下的配置方案：調(diào)整Apache的accept()串行化、Apache 2.0線程、采用mod_ssl的SSL會話緩存、優(yōu)化keep-alive超時(shí)值以及檢查

PHP是一種非常流行的網(wǎng)站腳本語言，但是它本身所固有的安全性是非常薄弱。本文講述了PHP增強(qiáng)計(jì)劃（Hardened-PHP project）和新的Suhosi計(jì)劃，Suhosin提供了增強(qiáng)的PHP的安全配置。

PHP是帶有爭論地但又是最流行的一種網(wǎng)站腳本語言。它之所以流行，是因?yàn)樗�低廉的價(jià)格，然而，這低廉的價(jià)格導(dǎo)致用PHP寫的網(wǎng)站應(yīng)用程序越來越多的同時(shí)也越來越多的展現(xiàn)出PHP本身在安全上的脆弱，這種安全特性顯示出PHP是極不可靠，不過同時(shí)對這個(gè)腳本語言本身而言它又是非常靈活的，使用它就能很容易的實(shí)現(xiàn)代碼，不過這些代碼都是臃腫的且不安全的，雖然是這樣它還是一直都擁有很多的使用者。你可以根據(jù)實(shí)際情況來假設(shè)，一次又一次，各種應(yīng)用軟件都體現(xiàn)了這種脆弱性：容易受到SQL注入、跨站腳本、任意執(zhí)行指令等等的攻擊。

因?yàn)橄髎afe_mode和open_basedir這樣內(nèi)置的PHP安全措施將被忽略，PHP增強(qiáng)計(jì)劃創(chuàng)建的PHP更具有安全性，同時(shí)也對PHP進(jìn)行校驗(yàn)檢查。最初，這些是由增強(qiáng)的PHP補(bǔ)丁完成的，這些補(bǔ)丁需要修補(bǔ)并重新編譯PHP自身。最近，PHP增強(qiáng)計(jì)劃發(fā)布了一個(gè)名為Suhosin的新工程。

Sohosin包括有兩部分：第一部分是PHP的補(bǔ)丁，這個(gè)補(bǔ)丁強(qiáng)化了Zend引擎自身，以免可能產(chǎn)生緩沖溢出，也可以防止相關(guān)的弱點(diǎn)。第二部分是Suhosin的擴(kuò)展，這是一個(gè)PHP的獨(dú)立使用模塊。這兩部分可以一起工作，或者是擴(kuò)展部分單獨(dú)工作。

開發(fā)人員不希望為了達(dá)到安全性而總?cè)ゾS護(hù)他們自己的PHP安裝設(shè)置和他們當(dāng)然更喜歡直接使用銷售商提供的Linux分布系統(tǒng)上PHP，使用擴(kuò)展模塊能提供更多PHP本身所不能具有的安全特點(diǎn)。

擴(kuò)展模塊很容易安裝；它也能通過PECL安裝，或者是下載后通過編譯安裝：

$ tar xvzf suhosin-0.9.17

$ cd suhosin-0.9.17

$ phpize

$ ./configure

$ make

$ sudo make install

為了使用suhosin，還需要增加/etc/php.ini，如下所示：

extension=suhosin.so

對于大部分人來說默認(rèn)的配置選項(xiàng)已經(jīng)足夠了。為了加強(qiáng)設(shè)置，可以在/etc/php.ini中增加相應(yīng)的值。網(wǎng)站中詳細(xì)地介紹了有關(guān)的各種配置選項(xiàng)，這些說明可以幫助你進(jìn)行初始化配置。

使用Suhosin，你可以得到一些錯(cuò)誤日志，你能把這些日志放到系統(tǒng)日志中，也可以同時(shí)寫到其他任意的日志文件中去；它還可以為每一個(gè)虛擬主機(jī)創(chuàng)建黑名單和白名單；可以過濾GET和POST請求、文件上載和cookie。你還能傳送加密的會話和cookie，可以設(shè)置不能傳送的存儲上線等等。它不像原始的PHP強(qiáng)化補(bǔ)丁，Suhosin是可以被像Zend Optimizer這樣的第三方擴(kuò)展軟件所兼容的。

分享：PHP后門的隱藏技巧測試報(bào)告
最近很多朋友都在問我是否能把我那一句話木馬隱藏到HTML或圖片里，其實(shí)把一句話木馬插入到PHP文件中就已經(jīng)很隱蔽了，如果說硬是要放到HTML文件或圖片里，就接著往下看這篇的篇測試報(bào)告吧。要知