php.ini安全配置

简介:

(1)打开php的安全模式


php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),同时把很多文件操作函数进行了权限控制,也不允许对某些关键字文件的文件,比如/etc/passwd,但是默认的php.ini是没有打开安全模式的,我们把它打开:

 

safe_mode = on

 

(2)用户组安全

 

当safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同组的用户也能够对文件进行访问。而且相同组的用户也能够对文件进行访问。

 

建议设置为:

 

safe_mode_gid = off

 

如果不进行设置,可能我们无法对我们服务器网站目录下的文件进行操作了,比如我们需要对文件进行操作的时候。

 

(3)安全模式下执行程序主目录

 

如果安全模式打开了,但是却是要执行某些程序的时候,可以指定要执行程序的主目录:

 

safe_mode_exec_dir = /usr/bin

 

一般情况下是不需要执行什么程序的,所以推荐不要执行系统程序目录,可以指向一个目录:然后把需要执行的程序拷贝过去,比如:

 

safe_mode_exec_dir = /temp/cmd

 

但是,我更推荐不要执行任何程序,那么就可以指向我们网页目录:

 

safe_mode_exec_dir = /usr/www

 

(4)安全模式下包含文件

 

如果要在安全模式下包含某些公共文件,那么就修改一下选项:

 

safe_mode_include_dir = /usr/www/include/

 

其实一般php脚本中包含文件都是在程序自己已经写好了,这个可以根据具体需要设置。

 

(5)控制php脚本能访问的目录

 

使用open_basedir选项能够控制PHP脚本只能访问指定的目录,这样能够避免PHP脚本访问不应该访问的文件,一定程序上显示了phpshell的危害,我们一般可以设置为只能访问网站目录:

 

open_basedir = /usr/www

 

(6)关闭危险函数

 

如果打开了安全模式,那么函数禁止是可以不需要的,但是我们为了安全还是考虑进去。比如,我们觉得不希望执行包括system()等在内的执行明了的php函数,或者能够查看php信息的phpinfo()等函数,那么我们就可以禁止它们:

 

disable_functions = system, passthru, exec, shell_exec, popen, phpinfo, escapeshellarg, escapeshellcmd, proc_close, proc_open, dl

 

如果你要禁止任何文件和目录的操作,那么可以关闭很多文件操作

 

disable_functions = chdir, chroot, dir, getcwd, opendir, readdir, scandir, fopen, unlink, delete, copy, mkdir, rmdir, rename, file, file_get_contents, fputs, fwrite, chgrp,chmod, chown



passthru,exec,system,chroot,chgrp,chmod,shell_exec,proc_open,proc_get_status,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,popen,phpinfo,escapeshellarg,escapeshellcmd,proc_close

 

以上只是列了部分比较常用的文件处理函数,你也可以把上面执行命令函数和这个函数结合,就能给抵制大部分的phpshell了。

 

(7)关闭php版本信息在http头中的泄露

 

我们为了防止黑客获取服务器中php版本的信息,可以关闭该信息泄露在http头中:

 

expose_php = off

 

比如黑客在 telnet www.girlcoding.com:80 的时候,那么将无法看到PHP的信息

 

(8)关闭注册全局变量

 

在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问,这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭:

 

register_globals = off

 

当然,如果这样设置了,那么获取对应变量的时候就要采取合理方式,比如获取GET提交的变量var,那么就要用$_GET['var']来进行获取,这个php程序员要注意。

 

(9)打开magic_quotes_gpc来防止SQL注入

 

SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷,所以一定要小心。php.ini中有一个设置:

 

magic_quotes_gpc = off

 

这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,比如把’转为\’等,这对防止sql注入有很大作用,所以我们推荐设置为:

 

magic_quotes_gpc = off

 

有次程序在本地的上传不好用了,但在服务器上好使~也可能是继承了discuz的核心文件造成的,获取路径出现了问题,后来打开这个参数,问题解决了。

 

(10)错误信息控制

 

一般php在没有连接到数据库或者其他情况下会有错误提示,一般错误信息中会包含php脚本当前的路径信息或者查询的SQL语句等信息,这类信息提供给黑客后,是不安全的,所以一般服务器建议禁止错误提示:

 

display_errors = Off

 

如果你确实要显示错误信息,一定要设置显示错误的级别,比如只显示警告以上的信息:

 

error_reporting = E_WARNING & E_ERROR

 

当然,我还是建议关闭错误提示。

 

(11)错误日志

 

建议在关闭display_errors后能够把是错误信息记录下来,便于查找服务器运行的原因:

 

log_errors = On

 

同时也要设置错误日志存放的目录,建议根apache的日志存在一起:

 

error_log = /usr/local/apache2/logs/php_error.log

 

注意:给文件必须允许apache用户或组具有写的权限。




 



转载地址:http://edu.cnzz.cn/201308/92043af2.shtml



   本文转自许琴 51CTO博客,原文链接:http://blog.51cto.com/xuqin/1710928,如需转载请自行联系原作者








相关文章
|
4月前
|
缓存 监控 网络协议
在配置 PHP-FPM 的 pool 时,常见的性能优化技巧
在配置 PHP-FPM 的 pool 时,常见的性能优化技巧
|
2月前
|
安全 PHP 开发者
php中配置variables_order详解
`variables_order` 是 PHP 配置中的一个关键指令,它决定了不同来源的变量被导入到全局变量空间的顺序。正确配置 `variables_order` 不仅可以确保变量的正确处理和覆盖顺序,还能提高应用程序的安全性。开发者应根据具体应用的需求,合理配置 `variables_order`,确保应用的稳定和安全运行。
40 5
|
2月前
|
SQL 安全 PHP
PHP开发中防止SQL注入的方法,包括使用参数化查询、对用户输入进行过滤和验证、使用安全的框架和库等,旨在帮助开发者有效应对SQL注入这一常见安全威胁,保障应用安全
本文深入探讨了PHP开发中防止SQL注入的方法,包括使用参数化查询、对用户输入进行过滤和验证、使用安全的框架和库等,旨在帮助开发者有效应对SQL注入这一常见安全威胁,保障应用安全。
71 4
|
6月前
|
SQL 存储 安全
PHP 与现代 Web 应用的安全挑战与解决方案
随着 Web 应用的发展,PHP 作为一种广泛使用的服务器端脚本语言,面临着越来越复杂的安全挑战。本文探讨了当前 PHP 开发中常见的安全问题,并提供了相应的解决方案,帮助开发者构建更安全可靠的 Web 应用。 【7月更文挑战第8天】
87 1
|
2月前
|
监控 PHP Apache
优化 PHP-FPM 参数配置:实现服务器性能提升
优化PHP-FPM的参数配置可以显著提高服务器的性能和稳定性。通过合理设置 `pm.max_children`、`pm.start_servers`、`pm.min_spare_servers`、`pm.max_spare_servers`和 `pm.max_requests`等参数,并结合监控和调优措施,可以有效应对高并发和负载波动,确保Web应用程序的高效运行。希望本文提供的优化建议和配置示例能够帮助您实现服务器性能的提升。
99 3
|
7月前
|
存储 运维 Serverless
函数计算产品使用问题之在YAML文件中配置了环境变量,但在PHP代码中无法读取到这些环境变量,是什么原因
函数计算产品作为一种事件驱动的全托管计算服务,让用户能够专注于业务逻辑的编写,而无需关心底层服务器的管理与运维。你可以有效地利用函数计算产品来支撑各类应用场景,从简单的数据处理到复杂的业务逻辑,实现快速、高效、低成本的云上部署与运维。以下是一些关于使用函数计算产品的合集和要点,帮助你更好地理解和应用这一服务。
|
2月前
|
SQL 安全 Go
PHP在Web开发中的安全实践与防范措施###
【10月更文挑战第22天】 本文深入探讨了PHP在Web开发中面临的主要安全挑战,包括SQL注入、XSS攻击、CSRF攻击及文件包含漏洞等,并详细阐述了针对这些风险的有效防范策略。通过具体案例分析,揭示了安全编码的重要性,以及如何结合PHP特性与最佳实践来加固Web应用的安全性。全文旨在为开发者提供实用的安全指南,帮助构建更加安全可靠的PHP Web应用。 ###
51 1
|
4月前
|
关系型数据库 MySQL PHP
php wampserver的使用配置
本文介绍了WampServer在Windows系统下的配置和使用方法,包括如何修改PHP时区为中国标准时区PRC、更改Apache服务器端口号以避免冲突、设置起始页以及如何创建和管理虚拟目录。通过这些步骤,用户可以更有效地在本地环境中开发和测试PHP程序。
php wampserver的使用配置
|
4月前
|
Unix PHP
PHP-FPM 配置
PHP-FPM 配置
|
4月前
|
IDE 安全 网络安全
Xdebug 在不同版本的 PHP 中配置方法有什么不同?
Xdebug 在不同版本的 PHP 中配置方法有什么不同?
248 4