PHPは広く数多のWebサーバでインストールされ、使われている。設定ファイルは殆どそのままで使われていることが多いのではないだろうか。だが4.2より前のバージョンではregister_globalsのデフォルトがOnになっていたなど、利便性とセキュアであることとの関係で潜在的な問題はあるかも知れない。

php.iniのセキュリティチェックに

見直すのはPHPの設定ファイルであるphp.iniだが、多数の設定があるのでぱっと見では設定の善し悪しが分かりづらいかも知れない。そこで使うのがPHP Security Consortiumだ。

今回紹介するオープンソース・ソフトウェアはPHP Security Consortium、PHPのセキュリティ設定を見直すソフトウェアだ。

PHP Security ConsortiumはPHPで作られたソフトウェアで、phpinfo()から得られる情報を使って、設定されている内容を読み取り、問題のある設定や直すべきポイントについて指摘してくれるソフトウェアだ。問題のある設定を出すだけでなく、Passされた設定もリストアップしてくれる。

一番下にはサマリーも

問題のある設定はWarningとして表示する他、Noticeとして改善できるポイントも教えてくれる。改善ポイントはどのように設定すべきか、詳細な説明リンクも表示してくれるので、そこでの説明を見ながら修正または把握しておくというやり方になるだろう。

設定が多過ぎると、どこが問題なのか分かりづらくなってしまう。だが、システムで自動的はノウハウの詰まった有益なものだ。PHP Security Consortiumに従ってシステム設定を改善すれば、きっとよりセキュアなシステムになるのではないだろうか。

# 2009年08月25日リンク修正。

via PHPSecInfo - Security Information About PHP Environment | Web Resources [WebAppers]

PHP Security Consortium: PHPSecInfo

　http://phpsec.org/projects/phpsecinfo/index.html