php.ini安全配置

（1）打開php的安全模式

php的安全模式是個非常重要的内嵌的安全機制，能夠控制一些php中的函數，比如system()，同時把很多檔案操作函數進行了權限控制，也不允許對某些關鍵字檔案的檔案，比如/etc/passwd，但是預設的php.ini是沒有打開安全模式的，我們把它打開：

safe_mode = on

（2）使用者組安全

當safe_mode打開時，safe_mode_gid被關閉，那麼php腳本能夠對檔案進行通路，而且相同組的使用者也能夠對檔案進行通路。而且相同組的使用者也能夠對檔案進行通路。

建議設定為：

safe_mode_gid = off

如果不進行設定，可能我們無法對我們伺服器網站目錄下的檔案進行操作了，比如我們需要對檔案進行操作的時候。

（3）安全模式下執行程式主目錄

如果安全模式打開了，但是卻是要執行某些程式的時候，可以指定要執行程式的主目錄：

safe_mode_exec_dir = /usr/bin

一般情況下是不需要執行什麼程式的，是以推薦不要執行系統程式目錄，可以指向一個目錄：然後把需要執行的程式拷貝過去，比如：

safe_mode_exec_dir = /temp/cmd

但是，我更推薦不要執行任何程式，那麼就可以指向我們網頁目錄：

safe_mode_exec_dir = /usr/www

（4）安全模式下包含檔案

如果要在安全模式下包含某些公共檔案，那麼就修改一下選項：

safe_mode_include_dir = /usr/www/include/

其實一般php腳本中包含檔案都是在程式自己已經寫好了，這個可以根據具體需要設定。

（5）控制php腳本能通路的目錄

使用open_basedir選項能夠控制PHP腳本隻能通路指定的目錄，這樣能夠避免PHP腳本通路不應該通路的檔案，一定程式上顯示了phpshell的危害，我們一般可以設定為隻能通路網站目錄：

open_basedir = /usr/www

（6）關閉危險函數

如果打開了安全模式，那麼函數禁止是可以不需要的，但是我們為了安全還是考慮進去。比如，我們覺得不希望執行包括system()等在内的執行明了的php函數，或者能夠檢視php資訊的phpinfo()等函數，那麼我們就可以禁止它們：

disable_functions = system, passthru, exec, shell_exec, popen, phpinfo, escapeshellarg, escapeshellcmd, proc_close, proc_open, dl

如果你要禁止任何檔案和目錄的操作，那麼可以關閉很多檔案操作

disable_functions = chdir, chroot, dir, getcwd, opendir, readdir, scandir, fopen, unlink, delete, copy, mkdir, rmdir, rename, file, file_get_contents, fputs, fwrite, chgrp,chmod, chown

passthru,exec,system,chroot,chgrp,chmod,shell_exec,proc_open,proc_get_status,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,popen,phpinfo,escapeshellarg,escapeshellcmd,proc_close

以上隻是列了部分比較常用的檔案處理函數，你也可以把上面執行指令函數和這個函數結合，就能給抵制大部分的phpshell了。

（7）關閉php版本資訊在http頭中的洩露

我們為了防止黑客擷取伺服器中php版本的資訊，可以關閉該資訊洩露在http頭中：

expose_php = off

比如黑客在 telnet www.girlcoding.com:80 的時候，那麼将無法看到PHP的資訊

（8）關閉注冊全局變量

在PHP中送出的變量，包括使用POST或者GET送出的變量，都将自動注冊為全局變量，能夠直接通路，這是對伺服器非常不安全的，是以我們不能讓它注冊為全局變量，就把注冊全局變量選項關閉：

register_globals = off

當然，如果這樣設定了，那麼擷取對應變量的時候就要采取合理方式，比如擷取GET送出的變量var，那麼就要用$_GET['var']來進行擷取，這個php程式員要注意。

（9）打開magic_quotes_gpc來防止SQL注入

SQL注入是非常危險的問題，小則網站背景被入侵，重則整個伺服器淪陷，是以一定要小心。php.ini中有一個設定：

magic_quotes_gpc = off

這個預設是關閉的，如果它打開後将自動把使用者送出對sql的查詢進行轉換，比如把’轉為\’等，這對防止sql注入有很大作用，是以我們推薦設定為：

有次程式在本地的上傳不好用了，但在伺服器上好使~也可能是繼承了discuz的核心檔案造成的，擷取路徑出現了問題，後來打開這個參數，問題解決了。

（10）錯誤資訊控制

一般php在沒有連接配接到資料庫或者其他情況下會有錯誤提示，一般錯誤資訊中會包含php腳本目前的路徑資訊或者查詢的SQL語句等資訊，這類資訊提供給黑客後，是不安全的，是以一般伺服器建議禁止錯誤提示：

display_errors = Off

如果你确實要顯示錯誤資訊，一定要設定顯示錯誤的級别，比如隻顯示警告以上的資訊：

error_reporting = E_WARNING & E_ERROR

當然，我還是建議關閉錯誤提示。

（11）錯誤日志

建議在關閉display_errors後能夠把是錯誤資訊記錄下來，便于查找伺服器運作的原因：

log_errors = On

同時也要設定錯誤日志存放的目錄，建議根apache的日志存在一起：

error_log = /usr/local/apache2/logs/php_error.log

注意：給檔案必須允許apache使用者或組具有寫的權限。

   本文轉自許琴 51CTO部落格，原文連結：http://blog.51cto.com/xuqin/1710928，如需轉載請自行聯系原作者