Home  >  Article  >  Backend Development  >  PHP系统的安全配置初级

PHP系统的安全配置初级

WBOY
WBOYOriginal
2016-06-23 13:19:10996browse

PHP有很多的配置参数,可以直接访问系统和操作目录的。
比如system命令(该命令可以让php直接访问Linux系统,做一些登录后的操作)在默认的php-fpm程序里,是默认关掉了的。
1.php-fpm的php.ini查看(默认的php目录)
切换到/usr/local/php/etc  目录下面,可以看到php的基本配置在该目录下
如果没有找到  可以用命令查找语句
find /usr/local/php  -name php.ini
会将对应的位置列出来
2.关闭掉正在运行的php-fpm(主要作用是重启php-fpm,解决一些崩溃BUG)
 killall  php-fpm(关闭掉所有叫php-fpm的运行进程)
 如果要重新开始运行
 /usr/local/php/sbin/php-fpm(超级管理员命令)
 3.为了防止对面查看php版本
 expose_php=on (开启这个后,攻击者将无法查看php的版本信息)
 3.开启后  可以直接调用system(和system类似的包括exec命令,一个输出命令运行的结果,一个不输出运行的结果)
 system("pwd");  
 直接调用了Linux的pwd命令。
 该命令默认情况是被禁止掉了的,在php.ini的
 disable_functions = 后面可以填写一大串的禁止使用函数,(多个禁用函数的时候,需要用逗号分割)比如
 禁止掉phpinfo() 函数,这样系统就无法查看phpinfo()的信息了。
 如果要用系统的命令,需要开放system命令(该命令不安全,但是在恰当的场合使用却能大幅度提升效率)
4.开启了一些不安全的指令,需要用一些配置来限制其访问目录权限
open_basedir= .:/home/www/
open_basedir 限定当前用户的访问目录 .代表当前目录 /home/www代表允许访问的所有目录  超过限定目录后,会直接报错
5.在正式的运行环境上,需要对php.ini的一些东西进行新配置(生效的作用范围仅仅是当前php脚本)
关闭错误显示  
error_reporting(E_ALL);
ini_set( 'display_errors', 'On' );

error_reporting(0);
ini_set( 'display_errors', 'Off' );
6.当开启了safe_mode的时候 ini_set 也是没有用的
      ini_set('post_max_size','10M');
      ini_set('upload_max_filesize','8M');//文件上传最大  
需要在.htaccess进行配置(要求设置是 AllowOverride All)
php_value upload_max_filesize 8M   
php_value post_max_size 10M
PS:在大型项目部署中,所有环境都是统一的,一般都是开启安全模式,这个时候是不允许单独改变php的某个配置参数(PHP的配置是运维部确定了配置,不允许程序员擅自改动运行环境,只能通过自己内部完成)要完成该功能就需要.htaccess 进行配置

Statement:
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn