Hallo Cyx23,

hat jemand einen Link auf eine Seite mit übersichtlichen aktuellen und
guten Tipps zu nötigen Sicherheitseinstellungen?

Einen Link habe ich leider nicht parat, aber die c't hat neulich einen guten Artikel zum Thema PHP und sichere php.ini-Einstellungen gemacht.

Unter anderem sind die folgenden Einstellungen empfehlenswert:

<snip>

; verhindert, dass externe URLs über fopen geöffnet werden können - braucht
; man meistens sowieso nicht und bietet Angreifern eine einfache Möglichkeit,
; Schadcode nachzuladen
allow_url_fopen = Off

; Ab PHP 5.2.0: Verhindert das Einbinden von externem PHP-Code
allow_url_include = Off

; Der Klassiker
register_globals = Off

; Hiermit werden Funktionen deaktiviert, die man meist nicht braucht und Angreifern
; das Leben viel leichter machen können
disable_functions = exec,system,passthru,shell_exec,escapeshellcmd,proc_open,proc_nice,ini_restore,popen

</snip>

Falls jemand weitere Vorschläge hat - die Liste ist natürlich noch nicht vollständig. :-)
Jedoch ist diese Konfiguration ein guter Start für einen sichereren Server.

Ich fände es wünschenswert, wenn mit PHP 6 alle zweifelhaften Funktionen standardmäßig (php.ini) deaktiviert sind, und man sie einfach durch Editieren der php.ini aktivieren kann.

Grüße

Marc Reichelt || http://www.marcreichelt.de/