Любой PHP-фреймворк для БЕЗОПАСНОГО использования на виртуальном хостинге?

Question

Существуют ли PHP-фреймворки, которые позволили бы мне сгенерировать приложение и затем использовать его БЕЗОПАСНО на виртуальном хостинге, насколько может быть достигнута безопасность виртуального хостинга? Под этим я подразумеваю, например, отсутствие необходимости в каком-либо каталоге app / tmp с доступом 777.

Не Symfony -> http://trac.symfony -project.org / wiki / SharedHostingNotSecure

Не CakePHP -> http://book.cakephp.org/view/911/Permissions

CodeIgniter -> «Если вы разработчик, который живет в реальном мире учетных записей виртуального хостинга и клиентов с установленными сроками ...» - выглядит многообещающе, может быть, это? Но я не смог найти что-то конкретное для прав доступа к файлу общего хостинга в документации

Может быть, ZendFramework? (Я не уверен, что это та же категория, что и PHP-фреймворк, похоже)

Есть ли какие-либо возможные рамки для БЕЗОПАСНОГО использования на виртуальном хостинге ??

Answer 1

Необходимость декларировать каталоги с разрешениями 777 является проблемой только для систем с дешевым хостингом и систем общего хостинга начального уровня.В этой области часто встречаются ограничения для взлома safe_mode и openbasedir, которые запрещают доступ только через PHP, но не используют другие интерпретаторы CGI.

В современных настройках сервера используется suexec / suphp , где каждый сценарий PHPработает под текущими учетными записями разрешений.Следовательно, вам не нужны никакие каталоги для записи, и большинство PHP-приложений должно быть защищено, по крайней мере, от несанкционированного вмешательства.Сам фреймворк здесь не имеет значения.

Answer 2

Вы смотрите на правильную проблему с неправильной точки зрения.

Наличие каталога с правами 777 само по себе небезопасно.

Наличие каталога 777 на общем хостинге небезопасно, , потому что демон http запускается для всех клиентов под одной системной учетной записью.

Это присущая виртуальный хостинг , поэтому он самый дешевый. Да, это не дешево ни за что, это дешево по цене безопасности.

Если безопасность так важна для вас, купите VPS. В настоящее время VPS достаточно дешевы.

Answer 3

Большинство успешных атак происходит потому, что пользователь / администратор придерживается значений по умолчанию;которые хорошо известны.Смотрите Windows атаки.Невероятно, сколько «администраторов» хранят не только URL-адреса по умолчанию, структуры каталогов по умолчанию, но также идентификаторы пользователей и пароли.На моем сайте я неоднократно вижу некоторые попытки входа в /wp-login.php с ID: PW в качестве admin: admin.Я даже не знаю, если это какие-то значения по умолчанию, и мой веб-сайт даже не WP, но, похоже, это так, и я думаю, что этим хакерам время от времени везет.

Безопасность, я считаю, всегда связана с повышениембар, сделать это сложнее.Нет 100% гарантии безопасности.Я думаю, что вы можете выбрать любой фреймворк или приложение, но ваша задача - усложнить его, изменив значения по умолчанию.

Я могу говорить только за ZF, и вы можете сделать какую-то причудливую конфигурацию, о которой никто даже не догадывается;если в вашем приложении нет случайных ошибок, и вы не показываете свои сообщения об ошибках с полной информацией.

Answer 4

Я предлагаю Zend Framework .Насколько я знаю, не требует никаких файловых разрешений.Просто нужна правильная конфигурация.И да, это PHP Framework.Вся моя библиотека находится под владельцем root, с правами на чтение для всех, и она отлично работает.Никогда не нужно ничего chmod.Когда дело доходит до библиотек, вы всегда можете определить свой собственный путь tmp, если он нужен классу.