திட்டத்தின் எல்லைகளில் PHP7 மொழிபெயர்ப்பாளருடன் இணைப்பதற்கான ஒரு தொகுதி, சுற்றுச்சூழலின் பாதுகாப்பை மேம்படுத்தவும், PHP பயன்பாடுகளை இயக்குவதில் ஏற்படும் பாதிப்புகளுக்கு வழிவகுக்கும் பொதுவான பிழைகளைத் தடுக்கவும் வடிவமைக்கப்பட்டுள்ளது. பாதிக்கப்படக்கூடிய பயன்பாட்டின் மூலக் குறியீட்டை மாற்றாமல் குறிப்பிட்ட சிக்கல்களைத் தீர்க்க மெய்நிகர் இணைப்புகளை உருவாக்கவும் தொகுதி உங்களை அனுமதிக்கிறது, இது அனைத்து பயனர் பயன்பாடுகளையும் புதுப்பித்த நிலையில் வைத்திருக்க முடியாத வெகுஜன ஹோஸ்டிங் அமைப்புகளில் பயன்படுத்த வசதியானது. தொகுதி C இல் எழுதப்பட்டுள்ளது, பகிரப்பட்ட நூலகத்தின் வடிவத்தில் இணைக்கப்பட்டுள்ளது (php.ini இல் "extension=snuffleupagus.so") மற்றும் LGPL 3.0 இன் கீழ் உரிமம் பெற்றது.
Snuffleupagus ஆனது பாதுகாப்பை மேம்படுத்த நிலையான வார்ப்புருக்களைப் பயன்படுத்த அல்லது உள்ளீட்டுத் தரவு மற்றும் செயல்பாட்டு அளவுருக்களைக் கட்டுப்படுத்த உங்கள் சொந்த விதிகளை உருவாக்க அனுமதிக்கும் விதிகள் அமைப்பை வழங்குகிறது. எடுத்துக்காட்டாக, விதி “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” பயன்பாட்டை மாற்றாமல் கணினி() செயல்பாட்டு வாதங்களில் சிறப்பு எழுத்துக்களின் பயன்பாட்டைக் கட்டுப்படுத்த உங்களை அனுமதிக்கிறது. இதேபோல், நீங்கள் உருவாக்கலாம் அறியப்பட்ட பாதிப்புகளைத் தடுக்க.
டெவலப்பர்களால் நடத்தப்பட்ட சோதனைகள் மூலம் ஆராயும்போது, Snuffleupagus செயல்திறனைக் குறைக்கவில்லை. அதன் சொந்த பாதுகாப்பை உறுதிசெய்ய (பாதுகாப்பு அடுக்கில் ஏற்படக்கூடிய பாதிப்புகள் தாக்குதல்களுக்கு கூடுதல் திசையனாக செயல்படலாம்), திட்டமானது வெவ்வேறு விநியோகங்களில் ஒவ்வொரு உறுதிப்பாட்டின் முழுமையான சோதனையைப் பயன்படுத்துகிறது, நிலையான பகுப்பாய்வு அமைப்புகளைப் பயன்படுத்துகிறது, மேலும் தணிக்கையை எளிமைப்படுத்த குறியீடு வடிவமைக்கப்பட்டு ஆவணப்படுத்தப்படுகிறது.
சிக்கல்கள் போன்ற பாதிப்புகளின் வகுப்புகளைத் தடுக்க உள்ளமைக்கப்பட்ட முறைகள் வழங்கப்படுகின்றன, தரவு வரிசைப்படுத்துதலுடன், PHP அஞ்சல்() செயல்பாட்டின் பயன்பாடு, XSS தாக்குதல்களின் போது குக்கீ உள்ளடக்கங்கள் கசிவு, இயங்கக்கூடிய குறியீட்டுடன் கோப்புகளை ஏற்றுவதால் ஏற்படும் சிக்கல்கள் (உதாரணமாக, வடிவத்தில் ), மோசமான தரமான சீரற்ற எண் உருவாக்கம் மற்றும் தவறான XML கட்டுமானங்கள்.
PHP பாதுகாப்பை மேம்படுத்த பின்வரும் முறைகள் ஆதரிக்கப்படுகின்றன:
- குக்கீகளுக்கான "பாதுகாப்பான" மற்றும் "சேம்சைட்" (CSRF பாதுகாப்பு) கொடிகளை தானாக இயக்கவும், குக்கீ;
- தாக்குதல்களின் தடயங்கள் மற்றும் பயன்பாடுகளின் சமரசத்தை அடையாளம் காண உள்ளமைக்கப்பட்ட விதிகளின் தொகுப்பு;
- கட்டாய உலகளாவிய செயல்படுத்தல் "" (உதாரணமாக, ஒரு முழு எண் மதிப்பை வாதமாக எதிர்பார்க்கும் போது ஒரு சரத்தை குறிப்பிடும் முயற்சியைத் தடுக்கிறது) மற்றும் அதற்கு எதிரான பாதுகாப்பு ;
- இயல்புநிலை தடுப்பு (உதாரணமாக, "phar://" ஐ தடை செய்தல்) அவர்களின் வெளிப்படையான அனுமதிப்பட்டியலுடன்;
- எழுதக்கூடிய கோப்புகளை இயக்க தடை;
- ஏவலுக்கான கருப்பு மற்றும் வெள்ளை பட்டியல்கள்;
- பயன்படுத்தும் போது TLS சான்றிதழ் சரிபார்ப்பை இயக்க வேண்டும்
சுருட்டை; - அசல் பயன்பாட்டால் சேமிக்கப்பட்ட தரவை டீரியலைசேஷன் மீட்டெடுக்கிறது என்பதை உறுதிப்படுத்த, வரிசைப்படுத்தப்பட்ட பொருள்களுடன் HMAC ஐச் சேர்ப்பது;
- பதிவு பயன்முறையை கோருங்கள்;
- XML ஆவணங்களில் உள்ள இணைப்புகள் வழியாக libxml இல் வெளிப்புற கோப்புகளை ஏற்றுவதைத் தடுப்பது;
- பதிவேற்றிய கோப்புகளை சரிபார்த்து ஸ்கேன் செய்ய வெளிப்புற ஹேண்ட்லர்களை (upload_validation) இணைக்கும் திறன்;
பெரிய பிரெஞ்சு ஹோஸ்டிங் ஆபரேட்டர்களில் ஒருவரின் உள்கட்டமைப்பில் பயனர்களைப் பாதுகாக்க இந்த திட்டம் உருவாக்கப்பட்டது மற்றும் பயன்படுத்தப்பட்டது. Snuffleupagus ஐ இணைப்பது இந்த ஆண்டு Drupal, WordPress மற்றும் phpBB இல் அடையாளம் காணப்பட்ட பல ஆபத்தான பாதிப்புகளிலிருந்து பாதுகாக்கும். பயன்முறையை இயக்குவதன் மூலம் Magento மற்றும் Horde இல் உள்ள பாதிப்புகளைத் தடுக்கலாம்
"sp.readonly_exec.enable()".
ஆதாரம்: opennet.ru