PHP代码审计(一)常见ini配置

简介: 我这里大概看了一下常见的重要的php.ini配置。具体详细配置请参照官方网站:

我这里大概看了一下常见的重要的php.ini配置。

具体详细配置请参照官方网站:

www.php.net/

1:启用全部变量

ini

复制代码

Register_globals = on;

这个设置的作用是关闭自动注册的全局变量。

如果设置为on的话,PHP会自动将超全局变量(GET,_GET,GET,_POST,SESSION,_SESSION,SESSION,_REQUEST)数组中的变量注册为变量,例如:POST[‘username’]会直接被注册为_POST[‘username’] 会直接被注册为 POST[username]会直接被注册为username.。

虽然方便了调用,但是会有以下几个问题:

(1):不知道变量是从哪里来的,到底是POST,还是_POST,还是POST,还是_SESSION中的?代码不方便阅读。

(2):变量之间相互覆盖,引起不必要的麻烦,而且还不容易找。

(3):安全问题,所以要设置为off

2:短标签

ini

复制代码

Short_open_tag = on

这个设置决定了在书写PHP代码的时候,是否允许使用  这种形式。

如果禁用,在书写PHP代码的时候就需要使用的形式。

3:设置上传及最大上传文件大小

ini

复制代码

File_uploads = on
Upload_max_filesize = 8M

4:文件上传临时目录

makefile

复制代码

Upload_tmp_dir =

上传临时目录,需要可写权限(linux系统),如果不设置,则默认系统目录linux:/tmp

Windows:c:windows emp

5:用户访问目录限制

ini

复制代码

Open_basedir = ./tmp/

Open_basedir能控制脚本访问指定目录,这样能避免PHP脚本访问不应该访问的目录及文件,一定程度上限制了PHPshell对程序的危害,一般我们都设置当前程序的脚本只能访问当前程序所在的目录及/tmp/目录,有效防止木马跨站攻击。

6:错误信息控制

ini

复制代码

Display_error = on

是否将错误信息作为输出的一部分,站点发布之后应该关闭这个功能,丢人是一回事,另外主要是暴露信息了就不好了,调试的时候当然要打开了,不然就啥也看不到了。

7:设置错误报告级别

ini

复制代码

Error_reporting = E_ALL

这个设置是将错误级别设置为最高,可以显示所有问题,方便差错,也有利于写出高质量的代码,一般推荐使用E_ALL或者E_STRICT,即所有级别。

8:错误日志:

javascript

复制代码

Error_log =

错误日志的位置,必须对web用户可写入,如果不定义,则默认写入到web服务器的错误日志中去。

ini

复制代码

Log_errors = on

如上边所说,建议将错误日志输入到文件中去,而不是输出到前端。

ini

复制代码

Log_errors_max_length = 1024

错误日志相关信息最大长度,设置0则表示无限长度。

9:是否允许打开远程文件

ini

复制代码

Allow_url_fopen = on

本选项激活了URL形式的fopen封装协议使得可以访问URL对象例如文件,默认封装协议提供用ftp和http协议来访问远程文件,一些扩展库例如zlib可能会注册更多的封装协议。

10:是否包含远程文件

Allow_url_include = off

本选项激活允许include,include_once,require,require_once等函数使用URL形式的fopen封装协议,简单来说就是可以包含远程文件

以上大概就是php.ini中常见设置的配置,可能需要注意一下。

有好的建议,请在下方输入你的评论。

欢迎访问个人博客guanchao.site

欢迎访问我的小程序:打开微信->发现->小程序->搜索“时间里的”

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
2月前
|
关系型数据库 MySQL API
|
3月前
|
安全 小程序 PHP
PHP代码审计(五)PHP代码审计方法与步骤
(1):获取到网站源码(这就是废话……) (2):将网站部署到你自己的环境中,能运行。 这里特殊说明一下我的习惯,我本地的环境与线上的环境基本上保持一致,这样在本地审计及线上部署的时候能发现更多的问题。不建议说是随便搭个环境能跑起来就行,这样不是很严谨。 (3):拿到源码之后,浏览大概的项目结构。
52 0
|
3月前
|
Shell PHP Windows
PHP代码审计(四)PHP文件操作函数(2)
改变文件所有者。如果成功则返回 TRUE,如果失败则返回 FALSE。 语法:chown(file,owner)
31 0
|
3月前
|
安全 Unix Shell
PHP代码审计(四)PHP文件操作函数(1)
改变文件所有者。如果成功则返回 TRUE,如果失败则返回 FALSE。 语法:chown(file,owner)
26 0
|
2月前
|
安全 Linux 测试技术
PHP环境配置和验证
PHP环境配置和验证
18 0
|
3月前
|
应用服务中间件 Linux PHP
百度搜索:蓝易云【在centos中配置nginx+php的环境教程。】
请注意,上述步骤是基本的配置指南,实际操作中可能会有特定的需求和配置。建议参考Nginx和PHP官方文档或其他详细教程以获得更全面和准确的信息。
36 0
|
3月前
|
XML 开发框架 .NET
代码审计之PHP基础铺垫
代码审计之PHP基础铺垫
53 0
|
3月前
|
安全 小程序 PHP
PHP代码审计(七)Rips源代码审计系统使用教程
上一篇中提到的Seay源代码审计系统是由C#编写的winform程序,现在已经停止更新了,但是,还是比较好用的。 PHP代码审计还有另一个工具,也是一个神器Rips
69 0
|
3月前
|
安全 小程序 PHP
PHP代码审计(六)Seay源代码审计系统使用教程
www.cnseay.com/ 当然,这个已经不能访问了。 软件的版本比较早,需要.NET framework3.5框架,我这里是软件启动的时候自动提醒安装,如果没有自动提醒,那么你需要手动安装.NET frameWork3.5框架,否则,程序应该是没有办法运行。
112 0

相关产品

  • 云迁移中心