Sigurnost PHP aplikacija

U najvećem broju slučajeva, niskobudžetni web hosting servisi implementiraju tehniku poznatu kao "shared" (deljeni) ili virtuelni hosting. Ovo znači da veliki broj web sajtova radi na istom web serveru, kako hardverski tako i softverski. Apache web server, kao i mnogi drugi, vrši servis za sve sajtove pod jednim istim sistemskim korisničkim imenom i grupom.

Na većini web servera PHP interpreter je implementiran kao Apache modul (DSO), čime se postiže optimizacija performansi i mogućnost istovremenog rada velikog broja virtuelnih sajtova. Ono što hosting provajderi obično izbegnu da kažu klijentima je činjenica da u ovakvom okruženju svi PHP skriptovi, na nivou servera, imaju potpuno identične privilegije. Ovo konkretno znači da ako Vaš PHP skript može da pročita neki fajl ili izvrši neku funkciju, apsolutno istu mogućnost imaju i svi ostali skriptovi na svim ostalim web sajtovima na serveru, i ne postoji nikakva mogućnost da se zaštite poverljivi podaci koji eventualno postoje u Vašim fajlovima. Ma koliko Vaš sajt bio zaštićen od zlonamernih pokušaja spolja, ne postoji nikakva zaštita od drugih korisnika koji sa Vama dele isti server.

Na uštrb nekoliko procenata od maksimalnih performansi, Burina.NET Web Hosting servis implementira dodatne tehnike koje omogućavaju PHP skriptovima da (poput CGI skriptova) rade sa privilegijama njihovog vlasnika, tj. korisničkog imena korišćenog za postavljanje sadržaja sajta. Na taj način je u potpunosti eliminisan jedan od najvećih sigurnosnih problema na zajedničkim, deljenim platformama.

Da biste zaštitili svoj PHP skript koji u sebi sadrži poverljive podatke (npr. konfiguracioni PHP skript sa lozinkom za MySQL bazu), potrebno je da podesite njegove fajl sistem atribute tako da samo vlasnik ima pravo čitanja i pisanja. Ovo se može postići na više načina, u zavisnosti od FTP klijenta koji koristite. Na primer, u komandnom promptu tekstualnog FTP klijenta potrebno je otkucati:

chmod 600 ime_fajla.php