PHP open_basedir의 보안과 성능 간의 균형에 대한 간략한 논의

웹사이트의 보안과 성능은 서로 상충되는 것 같습니다. PHP 웹사이트의 경우 특히 선택하기가 어렵습니다. 가장 간단한 예를 들자면, PHP 구성 파일의 open_basedir은 PHP가 열 수 있는 파일을 파일 자체를 포함하여 지정된 디렉터리 트리로 제한합니다. 원래 이는 웹사이트의 보안에 매우 유익하지만 저자가 인터넷에서 얻은 정보에 따르면 open_basedir은 PHP의 io 작업 성능에 큰 영향을 미칠 것입니다. 연구 데이터에 따르면 php_basedir로 구성된 스크립트 io의 실행 속도는 구성하지 않은 경우보다 10배 이상 느려집니다!

처음에는 이 결과를 별로 믿지 않았지만, 테스트 데이터를 통해 이러한 관점을 인정하게 되었습니다.

간단한 스크립트 만들기:

<?php
functionmicrotime_float()
{
    list($usec,$sec) =explode(" ", microtime());
    return((float)$usec+ (float)$sec);
}
 
$time_start= microtime_float();
 
is_file(&#39;1.html&#39;); //判断当前目录是否有1.html这个文件
$time_end= microtime_float();
$time=$time_end-$time_start;
 
echo"Did is_file in $time seconds\n";
?>

open_basedir의 테스트 결과
0.0006 / 5.0E-5
차이가 꽤 크지만 똑똑한 친구들은 주의를 기울여야 합니다. 예, 내 웹사이트는 open_basedir로 구성되어 있습니다. 이러한 성능 저하에 비해 보안을 위해 성능을 희생하는 것이 낫습니다. 추측할 필요도 없고 저와 같은 선택을 하실 수도 있습니다~ 결국 서버 보안이 더 중요합니다.

팁: open_basedir 구성 방법
스크립트가 예를 들어 fopen() 또는 gzopen()을 사용하여 파일을 열려고 시도하면 파일 위치가 확인됩니다. PHP는 지정된 디렉토리 트리 외부에 있는 파일 열기를 거부합니다. 모든 기호 링크가 해결되므로 기호 링크를 통해 이 제한을 우회하는 것은 불가능합니다.

특수값 .스크립트의 작업 디렉터리가 기본 디렉터리로 사용되도록 지정합니다. 그러나 이것은 다소 위험합니다. 스크립트의 작업 디렉토리가 chdir()에 의해 쉽게 변경될 수 있기 때문입니다.

httpd.conf 파일에서 open_basedir은 "php_admin_value open_basedir none" 방법을 사용하여 다른 구성 옵션처럼 끌 수 있습니다(예: 일부 가상 호스트에서).

Windows에서는 세미콜론으로 디렉토리를 구분합니다. 다른 시스템의 디렉토리를 구분하려면 콜론을 사용하십시오. Apache 모듈로서 상위 디렉터리의 open_basedir 경로가 자동으로 상속됩니다.

open_basedir에 지정된 제한 사항은 실제로 디렉터리 이름이 아니라 접두사입니다. 즉, "open_basedir = /dir/incl"은 "/dir/include" 및 "/dir/incls"가 존재하는 경우 이에 대한 액세스도 허용한다는 의미입니다. 지정된 디렉토리에만 액세스를 제한하려면 경로 이름을 슬래시로 끝내십시오. 예: "open_basedir = /dir/incl/".