在配置文件中,设置display_errors=On,开启了PHP错误显示,在PHP程序遇到错误时,会暴露PHP文件和系统路径,从而容易被威胁,我们需要设置:
;默认开启 ;Default Value: On ;研发环境开启 ;Development Value: On ;生产环境开启 ;Production Value: Off ;生产环境下,设定为Off display_errors = Off ;指定日志写入路径 error_log=/var/log/php/error_log.log
在HTTP请求返回的Response头部数据,HTTP头李返回服务器状态的信息,包含了PHP版本信息,黑客很容易根据版本漏洞,进而进行攻击
在配置文件中找到 expose_php,将值设置为 Off
expose_php=Off
在全局变量功能开启的情况下,传递过来的数据会被直接注册为全局变量使用,需要关闭全局变量覆盖,在PHP5.6之后的版本,官方已经将该配置去除:
register_blobals=Off
配置 open_basedir 来限制PHP访问文件系统的位置:
;限定PHP的访问目录为 /home/web/php/ open_basedir=/home/web/php/
allow_url_fopen 开启时,允许系统从远程检索数据,然而这个方法会给程序造成一个很大的漏洞,如果远程连接是一个恶意链接,那后果不堪设想
;禁用PHP远程URL访问 allow_url_fopen=Off ;禁用远程 include 包含文件 allow_url_include=Off
PHP的安全模式是为视图解决共享服务器(shared-server)的安全问题而设立的,开启之后,会对系统操作、文件、权限设置等方法产生影响,减少被黑客植入webshell所带来的安全问题,从而在一定程度上避免一些未知的攻击
;开启安全模式 safe_mode=On safe_mode_gid=Off
设置后,所有命令执行函数都被限制只能执行safe_mode_exec_dir指定目录里的程序,例如shell_exec()、exec()等方法会被禁止,如果需要调用,需进行如下配置:
safe_mode_exec_dir=/usr/local/php/exec
PHP中有很多危险的内置函数,如果使用不当,可能造成系统崩溃,配置文件中,disable_functions 选项能够在PHP中禁用指定的函数
disable_functions=phpinfo,eval,passthru,exec,system,chroot,scandir……
HttpOnly 可以让 Cookie 在浏览器中不可见,开启 HttpOnly 可以防止脚本通过 document 对象获取 Cookie
;开启 HttpOnly session.cookie_httponly=1
如果web传输协议使用的是HTTPS,则应开启 cookie_secure ,当Secure属性设置为true时,Cookie只有在HTTPS下才能上传到服务器,防止Cookie被窃取
session.cookie_secure=1
加载尽量少的模块在优化PHP性能的同时,也增加了安全性,使用 php -m 命令可以查看当前 PHP 所加载的模块
行云博客 - 免责申明 本站提供的一切软件、教程和内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我(admin@xy586.top)联系处理。敬请谅解!
本文链接:https://www.xy586.top/11480.html
转载请注明文章来源:行云博客 » PHP安全配置