PHP系统的安全配置初级

jopen 9年前

PHP有很多的配置参数,可以直接访问系统和操作目录的。
比如system命令(该命令可以让php直接访问Linux系统,做一些登录后的操作)在默认的php-fpm程序里,是默认关掉了的。
1.php-fpm的php.ini查看(默认的php目录)
切换到/usr/local/php/etc  目录下面,可以看到php的基本配置在该目录下
如果没有找到  可以用命令查找语句
find /usr/local/php  -name php.ini
会将对应的位置列出来
2.关闭掉正在运行的php-fpm(主要作用是重启php-fpm,解决一些崩溃BUG)
 killall  php-fpm(关闭掉所有叫php-fpm的运行进程)
 如果要重新开始运行
 /usr/local/php/sbin/php-fpm(超级管理员命令)
 3.为了防止对面查看php版本
 expose_php=on (开启这个后,攻击者将无法查看php的版本信息)
 3.开启后  可以直接调用system(和system类似的包括exec命令,一个输出命令运行的结果,一个不输出运行的结果)
 system("pwd");  
 直接调用了Linux的pwd命令。
 该命令默认情况是被禁止掉了的,在php.ini的
 disable_functions = 后面可以填写一大串的禁止使用函数,(多个禁用函数的时候,需要用逗号分割)比如
 禁止掉phpinfo() 函数,这样系统就无法查看phpinfo()的信息了。
 如果要用系统的命令,需要开放system命令(该命令不安全,但是在恰当的场合使用却能大幅度提升效率)
4.开启了一些不安全的指令,需要用一些配置来限制其访问目录权限
open_basedir= .:/home/www/
open_basedir 限定当前用户的访问目录 .代表当前目录 /home/www代表允许访问的所有目录  超过限定目录后,会直接报错
5.在正式的运行环境上,需要对php.ini的一些东西进行新配置(生效的作用范围仅仅是当前php脚本)
关闭错误显示  
error_reporting(E_ALL);
ini_set( 'display_errors', 'On' );

error_reporting(0);
ini_set( 'display_errors', 'Off' );
6.当开启了safe_mode的时候 ini_set 也是没有用的
      ini_set('post_max_size','10M');
      ini_set('upload_max_filesize','8M');//文件上传最大  
需要在.htaccess进行配置(要求设置是 AllowOverride All)
php_value upload_max_filesize 8M   
php_value post_max_size 10M
PS:在大型项目部署中,所有环境都是统一的,一般都是开启安全模式,这个时候是不允许单独改变php的某个配置参数(PHP的配置是运维部确定了配置,不允许程序员擅自改动运行环境,只能通过自己内部完成)要完成该功能就需要.htaccess 进行配置


来自: http://my.oschina.net/xiongyuanliang/blog/601772