ఒక సంవత్సరం అభివృద్ధి తర్వాత ప్రచురించిన ప్రాజెక్ట్ విడుదల Snuffleupagus 0.5.1, ఇది పర్యావరణం యొక్క భద్రతను మెరుగుపరచడానికి మరియు PHP అప్లికేషన్లను అమలు చేయడంలో దుర్బలత్వాలకు దారితీసే సాధారణ లోపాలను నిరోధించడానికి PHP7 ఇంటర్ప్రెటర్కు మాడ్యూల్ను అందిస్తుంది. మాడ్యూల్ కూడా మీరు సృష్టించడానికి అనుమతిస్తుంది వర్చువల్ పాచెస్ హాని కలిగించే అప్లికేషన్ యొక్క సోర్స్ కోడ్ను మార్చకుండా నిర్దిష్ట సమస్యలను తొలగించడానికి, ఇది మాస్ హోస్టింగ్ సిస్టమ్లలో ఉపయోగించడానికి సౌకర్యంగా ఉంటుంది, ఇక్కడ అన్ని వినియోగదారు అప్లికేషన్లను తాజాగా ఉంచడం అసాధ్యం. మాడ్యూల్ యొక్క ఓవర్ హెడ్ ఖర్చులు కనిష్టంగా అంచనా వేయబడ్డాయి. మాడ్యూల్ Cలో వ్రాయబడింది, భాగస్వామ్య లైబ్రరీ రూపంలో కనెక్ట్ చేయబడింది (php.iniలో “extension=snuffleupagus.so”) మరియు ద్వారా పంపిణీ చేయబడింది LGPL 3.0 కింద లైసెన్స్ పొందింది.
Snuffleupagus భద్రతను మెరుగుపరచడానికి ప్రామాణిక టెంప్లేట్లను ఉపయోగించడానికి లేదా ఇన్పుట్ డేటా మరియు ఫంక్షన్ పారామితులను నియంత్రించడానికి మీ స్వంత నియమాలను రూపొందించడానికి మిమ్మల్ని అనుమతించే నియమాల వ్యవస్థను అందిస్తుంది. ఉదాహరణకు, నియమం “sp.disable_function.function(“system”).param(“command”).value_r(“[$|;&`\\n]”).drop();” అప్లికేషన్ను మార్చకుండా సిస్టమ్() ఫంక్షన్ ఆర్గ్యుమెంట్లలో ప్రత్యేక అక్షరాల వినియోగాన్ని పరిమితం చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. సమస్యలు వంటి దుర్బలత్వాల తరగతులను నిరోధించడానికి అంతర్నిర్మిత పద్ధతులు అందించబడ్డాయి, సంబంధించిన డేటా సీరియలైజేషన్తో, అసురక్షిత PHP మెయిల్() ఫంక్షన్ని ఉపయోగించడం, XSS దాడుల సమయంలో కుకీ కంటెంట్ల లీకేజీ, ఎక్జిక్యూటబుల్ కోడ్తో ఫైల్లను లోడ్ చేయడం వల్ల సమస్యలు (ఉదాహరణకు, ఫార్మాట్లో phar), పేద నాణ్యత యాదృచ్ఛిక సంఖ్య ఉత్పత్తి మరియు ప్రత్యామ్నాయం సరికాని XML నిర్మాణాలు.
Snuffleupagus అందించిన PHP భద్రతా మెరుగుదల మోడ్లు:
కుక్కీల కోసం "సురక్షిత" మరియు "సమేసైట్" (CSRF రక్షణ) ఫ్లాగ్లను స్వయంచాలకంగా ప్రారంభించండి, ఎన్క్రిప్షన్ కుకీ;
దాడుల జాడలను గుర్తించడానికి మరియు అప్లికేషన్ల రాజీకి అంతర్నిర్మిత నియమాల సెట్;
బలవంతంగా గ్లోబల్ యాక్టివేషన్ "కఠినంగా" (ఉదాహరణకు, పూర్ణాంక విలువను ఆర్గ్యుమెంట్గా ఆశించేటప్పుడు స్ట్రింగ్ను పేర్కొనే ప్రయత్నాన్ని బ్లాక్ చేస్తుంది) మరియు రక్షణ రకం తారుమారు;
డిఫాల్ట్గా నిరోధించడం ప్రోటోకాల్ రేపర్లు (ఉదాహరణకు, "phar://"ని నిషేధించడం) వారి స్పష్టమైన వైట్లిస్టింగ్తో;
వ్రాయదగిన ఫైల్లను అమలు చేయడంపై నిషేధం;
ఎవాల్ కోసం నలుపు మరియు తెలుపు జాబితాలు;
ఉపయోగిస్తున్నప్పుడు TLS ప్రమాణపత్రం తనిఖీని ప్రారంభించడం అవసరం
కర్ల్;
అసలైన అప్లికేషన్ ద్వారా నిల్వ చేయబడిన డేటాను డీరియలైజేషన్ తిరిగి పొందుతుందని నిర్ధారించడానికి సీరియలైజ్ చేయబడిన వస్తువులకు HMACని జోడించడం;
లాగింగ్ మోడ్ను అభ్యర్థించండి;
XML డాక్యుమెంట్లలోని లింక్ల ద్వారా libxmlలో బాహ్య ఫైల్లను లోడ్ చేయడాన్ని నిరోధించడం;
అప్లోడ్ చేసిన ఫైల్లను తనిఖీ చేయడానికి మరియు స్కాన్ చేయడానికి బాహ్య హ్యాండ్లర్లను కనెక్ట్ చేసే సామర్థ్యం (upload_validation);
మధ్యలో మార్పులు కొత్త విడుదలలో: PHP 7.4కు మెరుగైన మద్దతు మరియు ప్రస్తుతం అభివృద్ధిలో ఉన్న PHP 8 బ్రాంచ్తో అనుకూలత అమలు చేయబడింది. syslog ద్వారా ఈవెంట్లను లాగ్ చేసే సామర్థ్యాన్ని జోడించారు (sp.log_media డైరెక్టివ్ చేర్చడం కోసం ప్రతిపాదించబడింది, ఇది php లేదా syslog విలువలను తీసుకోవచ్చు). ఇటీవల గుర్తించబడిన దుర్బలత్వాలు మరియు వెబ్ అప్లికేషన్లకు వ్యతిరేకంగా దాడి చేసే పద్ధతుల కోసం కొత్త నియమాలను చేర్చడానికి డిఫాల్ట్ నియమాల సెట్ అప్డేట్ చేయబడింది. MacOS కోసం మెరుగైన మద్దతు మరియు GitLab ఆధారంగా నిరంతర ఇంటిగ్రేషన్ ప్లాట్ఫారమ్ యొక్క విస్తృత వినియోగం.