通常部署完php环境后会进行一些安全设置,除了熟悉各种php漏洞外,还可以通过配置php.ini来加固PHP的运行环境,PHP官方也曾经多次修改php.ini的默认设置。...下面对php.ini中一些安全相关参数的配置进行说明 register_globals 当register_globals = ON时,PHP不知道变量从何而来,也容易出现一些变量覆盖的问题。...sql.safe_mode = Off PHP的安全模式是否应该开启的争议一直比较大。一方面,它会影响很多函数;另一方面,它又不停地被黑客们绕过,因此很难取舍。...文件上传的其他注意事项 : 在上传大文件时,你会有上传速度慢的感觉,当超过一定的时间,会报脚本执行超过 30秒的错误,这是因为在php.ini配置文件中 max_execution_time 配置选项在作怪...安全起见应当取消掉.user.ini文件的写权限。
一、屏蔽PHP错误信息 在配置文件中,设置display_errors=On,开启了PHP错误显示,在PHP程序遇到错误时,会暴露PHP文件和系统路径,从而容易被威胁,我们需要设置: ;默认开启 ;Default...之后的版本,官方已经将该配置去除: register_blobals=Off 四、PHP的访问限制 1.文件系统限制 配置 open_basedir 来限制PHP访问文件系统的位置: ;限定PHP的访问目录为...开启完全模式 PHP的安全模式是为视图解决共享服务器(shared-server)的安全问题而设立的,开启之后,会对系统操作、文件、权限设置等方法产生影响,减少被黑客植入webshell所带来的安全问题...,system,chroot,scandir…… 参考:《PHP建议禁用的危险函数》 五、PHP中的Cookie安全 1.Cookie 的 HttpOnly HttpOnly 可以让 Cookie 在浏览器中不可见...性能的同时,也增加了安全性,使用 php -m 命令可以查看当前 PHP 所加载的模块
一、屏蔽PHP错误信息 在配置文件中,设置display_errors=On,开启了PHP错误显示,在PHP程序遇到错误时,会暴露PHP文件和系统路径,从而容易被威胁,我们需要设置: ;默认开启 ;Default...在配置文件中找到 expose_php,将值设置为 Off expose_php=Off 三、防止全局变量覆盖 在全局变量功能开启的情况下,传递过来的数据会被直接注册为全局变量使用,需要关闭全局变量覆盖...,在PHP5.6之后的版本,官方已经将该配置去除: register_blobals=Off 四、PHP的访问限制 1.文件系统限制 配置 open_basedir 来限制PHP访问文件系统的位置: ;...PHP的安全模式是为视图解决共享服务器(shared-server)的安全问题而设立的,开启之后,会对系统操作、文件、权限设置等方法产生影响,减少被黑客植入webshell所带来的安全问题,从而在一定程度上避免一些未知的攻击...本文链接:https://www.xy586.top/11480.html 转载请注明文章来源:行云博客 » PHP安全配置
php安全配置 PHP 4.1~5.4,需要关闭register_globals 关闭错误显示 范例 System Linux 98.199-245-23.rdns.scalabledns.com 2.6.32.../configure’ ‘–prefix=/usr/local/php’ ‘–with-config-file-path=/usr/local/php/etc’ ‘–enable-fpm’ ‘–with-fpm-user...) Path /usr/local/php/etc Loaded Configuration File /usr/local/php/etc/php.ini Scan this dir for additional...On On extension_dir /usr/local/php/lib/php/extensions/no-debug-non-zts-20100525 /usr/local/php/lib/php...:/usr/local/php/lib/php .
PHP配置文件指令多达数百项,为了节省篇幅,这里不对每个指令进行说明,只列出会影响PHP脚本安全的配置列表以及核心配置选项。 详细参阅官方文档,关于php.ini的配置选项列表。...file=http://test1/index.php,就能看到页面回显了ok,远程读取并执行了test1的index.php,这个配置选项对于PHP安全的影响不可小觑,在使用的时候必须慎之又慎。...该选项设置是否将错误信息作为输出的一部分打印到屏幕,或者对用户隐藏。...设置为Off时,将不会对用户显示错误信息。 error_reporting用于设置错误报告级别。该参数可以是表示二进制位字段的任意整数或者常量名称。...在设置display_errors=On时,还可以配置error_reporting,用来配置错误显示的级别。
由于脚本语言和早期版本设计的诸多原因,php项目存在不少安全隐患。从配置选项来看,可以做如下的优化。 1.屏蔽PHP错误输出。...在/etc/php.ini(默认配置文件位置),将如下配置值改为Off display_errors=Off 不要将错误堆栈信息直接输出到网页上,防止黑客加以利用相关信息。...正确的做法是: 把错误日志写到日志文件中,方便排查问题。 2.屏蔽PHP版本。...默认情况下PHP版本会被显示在返回头里,如: Response Headers X-powered-by: PHP/7.2.0 将php.ini中如下的配置值改为Off expose_php=Off 3...allow_url_fopen=Off allow_url_include=Off 其他第三方安全扩展 6.Suhosin。 Suhosin是一个PHP程序的保护系统。
打开php.ini,安全加固配置方式如下,关闭注册全局变量设置: register_globals = Off ? 注:默认php配置文件该选项是关闭的。 PHP 5.3.*与5.4....打开php.ini,安全加固配置方式如下,打开magic_quotes_gpc设置: magic_quotes_gpc = On ? 注:PHP5.3.*与5.4.*中已被移除。 6....关闭错误消息显示:php在没有连接到数据库或者其他情况下会有提示错误,一般错误信息中会包含php脚本当前的路径信息或者查询的SQL语句等信息,这类信息提供给黑客后,是不安全的,所以服务器建议禁止错误提示...打开php.ini,安全加固配置方式如下,关闭错误信息显示设置: display_errors = Off ?...打开php.ini,安全加固配置方式如下,打开错误日志记录并设置错误日志存放路径: log_errors = Onerror_log = /usr/local/apache2/logs/php_error.log
因为配置不当引发的安全问题是屡见不鲜的,通过一系列的安全配置,可以很好的解决一些安全隐患,从而为系统增加安全系数。但是在开发过程中,因为需求的改变和编程的习惯可能会更改一些配置同时带来安全隐患。...在这种情况下,需要更加的了解配置带来的安全隐患,也就是漏洞的产生原理。同时需要了解在打开一些配置安全隐患之后,该如何通过一些其他手段解决安全问题是我们重点需要讨论的问题。...0×03 配置不显示错误信息,保存错误信息到本地 黑客在渗透过程中,因为错误信息的暴露,给黑客提供了很大的利用便利条件,所以在开发过程中,我们可以为了编程的方便,需要开启错误信息提示到浏览器,但是在程序上线后...,我们一定要关闭错误信息提示,这里提供一种一举两得的方式,关闭浏览器显示错误提示,记录错误提示到本地日志中。...expose_php =off 为开启 0×11 display_startup_errors 这个可以跟display_errors做比较,区别是这个是php程序启动时产生的错误,和display_errors
背景 在 PHP 安全测试中最单调乏味的任务之一就是检查不安全的 PHP 配置项。...作为一名 PHP 安全海报的继承者,我们创建了一个脚本用来帮助系统管理员如同安全专家一样尽可能快速且全面地评估 php.ini 和相关主题的状态。...在下文中,该脚本被称作“PHP 安全配置项检查器”,或者 pcc。...https://github.com/sektioneins/pcc 概念 一个便于分发的单文件 有对每个安全相关的 ini 条目的简单测试 包含一些其他测试 - 但不太复杂 兼容 PHP >= 5.4...保障措施 大多数情况下,最好是自己来关注与安全性相关的问题比如PHP的配置。脚本已实现下列保障措施: mtime检查:脚本在非CLI环境中只能工作两天。
下面通过修改默认的配置文件加强PHP的安全策略!...** 在默认设置中,php会向浏览器输出错误消息,在应用程序的开发过程中,这个默认设置是最合理的配置,然而,它也可以向用户泄漏一些安全信息,例如安装路径和用户名。...在已经开发完成的网站中,最好禁用错误消息然后把错误消息输出到日志文件中。...… 显然,我们不希望用户可以直接获取你网站服务器的PHP版本,幸运的是,在php.ini中有个开关可以禁用这个功能: 复制代码 代码如下: expose_php = Off 0x07**:安全模式配置*...* 在默认的情况下,php可以配置为安全模式,在这种模式下,Apache禁止访问文件、环境变量和二进制程序,在安全模式下,存在的最大问题就是只有文件的所有者才能访问这写PHP文件,如果有很多开发者共同开发这个程序
php.ini中日志相关的配置 ;将错误输入到日志文件 (服务器指定的log,stderr或者以下error_log指定的位置) log_errors = On ;错误日志文件位置 error_log...= /tmp/php-error.log ;是否将错误打印出来(程序中的错误,如代码语法错误) display_errors = Off ;Note: ;尽管 display_errors 也可以在运行时设置...;PHP启动过程中的错误信息 display_startup_errors = Off ;错误日志级别 ;开发环境可以考虑开机所有级别错误 error_reporting = E_ALL 注: nginx...的error_log和php.ini的error_log同时做了地址配置的时候(log_errors=On这一项要打开),只会记录php的error_log=/tmp/php-error.log,要想记录...nginx的error_log,php的error_log地址则不写。
错误级别 在php.ini中可查看PHP的各个错误级别 ; Error Level Constants: ; E_ALL - All errors and warnings (includes...php 配置项 php.ini与错误相关的配置项: 选项 描述 error_reporting 设置错误报告的级别 display_errors 是否显示错误 log_errors 是否将错误记录到日志中...是否忽略重复信息的来源 error_reporting = E_ALL & ~ E_NOTICE # 表示除了NOTICE之外的所有错误 设置错误级别 可通过以下三种方法修改 修改php.ini...; // Fatal error,此行不会运行 手动触发PHP错误 除了PHP解释器能触发错误外,开发人员也可以通过trigger_error函数触发 header('content-type:text...; // 不会运行 自定义错误处理器 我们可以通过set_error_handler函数接管php的错误处理方法 header('content-type:text/html;charset=utf-8
介绍 这个页面的目的是为了帮助那些配置 PHP 和运行它的 web 服务器的人确保它的安全性。 下面你将找到有关 php.ini 文件的正确配置信息。...你还应该运行 PHP 7.2 或者更高版本。如果你运行的版本是 PHP 7.0 和 PHP 7.1 ,你将在下面的几个地方使用略有不同的值(看内联的注释)。...最后,查看 PHP 文档 以获得关于 php.ini 配置文件中每个值的参考。 你可以在一个现成的 php.ini 文件中找到以下配置的副本 此处 。...PHP 错误处理 expose_php = Off error_reporting = E_ALL display_errors = Off...7.0-7.1 更多的安全隐患的检查 session.referer_check = /application/path memory_limit = 50M post_max_size
display_errors选项的配置需要通过ini_set来实现,PHP文档中关于display_errors的配置表明该值为字符串类型,实际使用中数字和布尔类型也可以打开或关闭该配置。...打开值 关闭值 'On'、1、'1'、true 'Off'、0、'0'、false error_reporting配置 display_errors控制了PHP脚本发生错误时是否显示错误详情以及是否返回错误状态码...需要注意的是,PHP本身是有错误日志的(error_log和log_errors两个配置项目),若发生错误,PHP会将改错误写入错误日志中,而哪些错误需要被写入是受error_reporting项的控制的...PHP自带错误日志 PHP本身已经带了错误日志的记录,可以在php.ini中将log_errors项设置为On,并配合error_log配置项来指定错误日志的存放路径。...错误日志输出错误信息级别的函数或配置,而display_errors则是控制是否向浏览器输出错误和告警信息。
图片 这篇文章基于PHP7 从PHP7起,PHP对异常做了较大改变,引入了Error,调整了继承结构Stringable这是个interface,只要能转字符串的类都应该实现这个接口Throwable能被...throw抛出的最基本的接口,但是PHP不允许直接实现这个接口Exception所有用户级异常的基类,想要自定义异常就可以继承这个LogicException代码逻辑错误,就是代码写的不对BadFunctionCallException...相当于编译期间的DomainExceptionUnderflowException空对象上的无效操作,eg: 删除元素UnexpectedValueException值不在可接受集合ErrorException错误异常...Error内部错误的基类TypeError类型不匹配ArgumentCountError参数数量不匹配ArithmeticError数学运算错误DivisionByZeroError除零错误AssertionError...断言失败错误CompileError编译错误ParseError解析PHP代码错误ValueError传值错误UnhandledMatchErrormatch未被匹配到任何分支FiberError在纤程上执行无效操作
关闭PHP错误提示方法,防止错误信息泄露 我们都知道,php代码有时候可能因为我们的一些操作失误,导致报错,然后会暴露错误信息。 为了防止错误信息泄露,需要关闭php的错误提示。...方法一:修改PHP配置文件php.ini 首先打开配置文件php.ini 然后查找 ‘display_errors’,将display_errors = On 修改为 display_errors =...(Off为关闭错误提示,On为打开错误提示) 注意:如果你已经把PHP.ini文件复制到windows目录下,那么必须同时把c:windows/php.ini里的display_errors = On修改为...方法二:ini_set()函数 PHP ini_set用来设置php.ini的值,在函数执行的时候生效,脚本结束后,设置失效。无需打开php.ini文件,就能修改配置,对于虚拟空间来说,很方便。...(E_ALL^E_NOTICE^E_WARNING); 可以关闭所有notice 和 warning 级别的错误。
mysql配置的时候报APPCRASH错误,错误模块是ntdll.dll。没有启动项,按文档教程一模一样配置了IIS,装了PHP最新版7.4.4 win32。可以运行。
PHP PDO 错误与错误处理 PDO::ERRMODE_SILENT 此为默认模式。...PDO::ERRMODE_EXCEPTION 除设置错误码之外,PDO还将抛出一个PDOException异常类并设置它的属性来反射错误码和错误信息。...异常模式另一个非常有用的是,相比传统 PHP风格的警告,可以更清晰地构建自己的错误处理,而且比起静默模式和显式地检查每种数据库调用的返回值,异常模式需要的代码/嵌套更少。...php $dsn = 'mysql:dbname=testdb;host=127.0.0.1'; $user = 'dbuser'; $password = 'dbpass'; try { $dbh...php $dsn = 'mysql:dbname=test;host=127.0.0.1'; $user = 'googleguy'; $password = 'googleguy'; /* 使用
前提nginx配置完成 上传压缩包: php压缩包链接(密码lyx) 进行解压进入目录: tar -xf php-5.5.5.tar.gz && cd php-5.5.5 安装依赖组件: yum...&& make install 修改配置文件: cp -a php.ini-production /usr/local/php/etc/php.ini cp -a /usr/local/php/etc.../php-fpm.conf.default /usr/local/php/etc/php-fpm.conf 进行启停PHP服务: /usr/local/php/sbin/php-fpm #启动 cd...SCRIPT_FILENAME $document_root$fastcgi_script_name;#设置脚本文件请求的 路径 include fastcgi_params; #引入fastcgi的配置文件...php phpinfo(); ?> 测试一下: curl -i 本机ip/index.php 然后打开浏览器访问 ip/index.php
一、apache配置 首先下载apache安装包,下载地址:http://httpd.apache.org/download.cgi 我的是win7系统,所以下载windows的安装包,点击我圈出的地方...ApacheHaus 根据自己的电脑选择64位还是32的安装包,进行下载 然后解压文件,我解压到E:\Apache\Apache24 然后打开文件夹找到conf文件夹下的httpd.conf文件,打开进行配置...然后将 PHP 的根目录下的 php.ini-development 复制一份并改名为 php.ini,作为PHP的配置文件 4.打开php.ini,修改配置信息: 说明:ini文件的注释是分号...(英文分号),所以取消注释就删除分号; ${phphome}是PHP的根目录,即:E:\PHP,配置文件中写成绝对路径。...,要慢慢仔细找找 6.修改 Apache24\conf\ 目录下的 httpd.conf 配置 Apache ,让 Apache 和 PHP 协同工作 修改默认的索引,以支持 PHP 修改前: #
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
