PHP安全配置详细说明


Posted in PHP onSeptember 26, 2011

【 安全模式 】

PHP的安全模式提供一个基本安全的共享环境,在一个有多个用户帐户存在的PHP开放的Web服务器上。当一个Web服务器上运行的PHP打开了安全模式,那么一些函数将被完全的禁止,并且会限制一些可用的功能。

[ 使用安全模式来强制限制 ]

在安全模式下,一些尝试访问文件系统的函数功能将被限制。运行Web服务器用户ID,如果想要操作某个文件,则必须拥有该文件读取或者写入的访问权限,实现这个限制功能对于PHP来说是没有问题的。

在 安全模式开启的时候,尝试读取或者写入一个本地文件的时候,PHP将检查当前访问用户是否是该目标文件的所有者。如果不是所有者,则该操作会被禁止。(写 入权限:在较低级别的文件访问权限下,可能会允许读取或者写入系统操作系统的文件,通过PHP的安全模式实现了防止你操作另外一个用户文件的操作。当然, 一个Web服务器可能能够访问一个具有全局写入权限的任意文件。)

当安全模式打开的时候,以下函数列表的功能将会受到限制:

chdir , move_uploaded_file, chgrp, parse_ini_file, chown, rmdir, copy, rename, fopen, require, highlight_file, show_source, include, symlink, link, touch, mkdir, unlink

同样的,一些PHP扩展中的函数也将会受到影响。(加载模块:在安全模式下dl函数将被禁止,如果要加载扩展的话,只能修改php.ini中的扩展选项,在PHP启动的时候加载)

在PHP安全模式打开的时候,需要执行操作系统程序的时候,必须是在safe_mode_exec_dir选项指定目录的程序,否则执行将失败。即使允许执行,那么也会自动的传递给escapeshellcmd函数进行过滤。

以下执行命令的函数列表将会受到影响:

exec, shell_exec, passthru, system, popen

另外,背部标记操作符(`)也将被关闭。

当运行在安全模式下,虽然不会引起错误,但是 putenv 函数将无效。同样的,其他一些尝试改变PHP环境变量的函数set_time_limit, set_include_path 也将被忽略。

[ 打开安全模式 ]

打开或者关闭PHP的安全模式是利用php.ini中的safe_mode选项。如果要激活安全模式给当前所有共享Web服务器的用户,只要设置配置选项为:safe_mode = On当函数在访问文件系统的时候将进行文件所有者的检查。缺省情况下,会检查该文件所有者的用户ID,当你能够修改文件所有者的组ID(GID)为 safe_mode_gid 选项所指定的。如 果你有一个共享库文件在你的系统上,当你碰到需要include或require的时候,那么你可以使用 safe_mode_include_dir 选项来设置你的路径,保证你的代码正常工作。(包含路径: 如果你想要使用 safe_mode_include_dir 选项包含更多的包含路径,那么你可以象 include_path 选项一样,在Unix/Linux系统下使用冒号进行分割,在Windows下使用分号进行分割)比如你想要在安全模式下包含 /usr/local/include/php 下的文件,那么你可以设置选项为:safe_mode_include_dir = /usr/local/include/php如果你的包含的文件是需要执行的,那么你可以设置 safe_mode_exec_dir 选项。比如你需要 /usr/local/php-bin 路径下的文件是可以执行的,那么可以设置选项为:safe_mode_exec_dir = /usr/local/php-bin(可执行:如果你执行的程序在 /usr/bin 目录下,那么你可以把这些的二进制文件,连接到你指定选项下能够执行的路径)如果你想设置某些环境变量,那么可以使用 safe_mode_allowed_env_vars 选项。这个选项的值是一个环境变量的前缀,缺省是允许 PHP_ 开头的环境变量,如果你想要改变,可以设置该选项的值,多个环境变量前缀之间使用逗号进行分割。比如下面允许时区的环境变量 TZ ,那么修改该选项的值为:safe_mode_allowed_env_vars = PHP_,TZ【 其他的安全特征 】除了安全模式以外,PHP还提供了许多其他许多特征来保证PHP的安全。

[ 隐藏PHP ]

你能够在php.ini里使用 expose_php 选项来防止Web服务器泄露PHP的报告信息。如下:expose_php = On利用整个设置,你能够阻碍一些来自自动脚本针对Web服务器的攻击。通常情况下,HTTP的头信息里面包含了如下信息:Server: Apache/1.3.33 (Unix) PHP/5.0.3 mod_ssl/2.8.16

OpenSSL/0.9.7c在 expose_php 选项打开以后,PHP的版本信息将不包含在上面的头信息里。当然,用户访问网站的时候同样能够看到 .php 的文件扩展名。如果你想整个的使用不同的文件扩展名,你需要在 httpd.conf 中找到如下这行:AddType application/x-httpd .php你就可以修改 .php 为任何你喜欢的文件扩展名。你能够指定任意多个的文件扩展名,中间使用空格进行分割。如果你想在服务器端使用PHP来解析 .html 和 .htm 文件的时候,那么你设置选项如下:AddType application/x-httpd .html .htm(解析HTML:配置你的Web服务器使用PHP去解析所有的HTML文件,但是如果非服务器端代码也需要PHP去解析,会影响服务器的性能。静态页面你可以使用不同的扩展名,这样能够消除对PHP脚本引擎的依赖,增强性能。)

[ 文件系统安全 ]

安全模式限制了脚本所有者只能访问属于自己的文件,但是你可以使用 open_basedir 选现来指定一个你必须访问的目录。如果你指定了一个目录,PHP将拒绝访问除了该目录和该目录子目录的其他目录。open_basedir 选项能够工作在安全模式之外。限制文件系统只能访问 /tmp 目录,那么设置选项为:open_basedir = /tmp[ 函数访问控制 ]你能够在 disable_functions 选项中使用逗号分割来设定函数名,那么这些函数将在PHP脚本中被关闭。这个设置能够工作在安全模式之外。disable_functions = dl当然,同样的你能够使用 disable_classes 选项来关闭对一些类的访问。

[ 数据库安全 ]

假设你的PHP脚本中包含一个基于表单值来执行的Mysql查询:$sql = “UPDATE mytable SET col1 = ” .

PHP 相关文章推荐
PHP对象Object的概念 介绍
Jun 14 PHP
php生成zip压缩文件的方法详解
Jun 09 PHP
使用php显示搜索引擎来的关键词
Feb 13 PHP
适用于抽奖程序、随机广告的PHP概率算法实例
Apr 09 PHP
php5.3提示Function ereg() is deprecated Error问题解决方法
Nov 12 PHP
php打印输出棋盘的实现方法
Dec 23 PHP
php实现在服务器上创建目录的方法
Mar 16 PHP
php生成圆角图片的方法
Apr 07 PHP
win7系统配置php+Apache+mysql环境的方法
Aug 21 PHP
PHP strip_tags() 去字符串中的 HTML、XML 以及 PHP 标签的函数
May 22 PHP
php+ajax注册实时验证功能
Jul 20 PHP
ThinkPHP5.1表单令牌Token失效问题的解决
Mar 22 PHP
使用PHP遍历文件夹与子目录的函数代码
Sep 26 #PHP
抓取并下载CSS中所有图片文件的php代码
Sep 26 #PHP
新浪微博API开发简介之用户授权(PHP基础篇)
Sep 25 #PHP
PHP+MYSQL会员系统的登陆即权限判断实现代码
Sep 23 #PHP
PHP将DateTime对象转化为友好时间显示的实现代码
Sep 20 #PHP
php方法调用模式与函数调用模式简例
Sep 20 #PHP
php若干单维数组遍历方法的比较
Sep 20 #PHP
You might like
建站常用13种PHP开源CMS比较
2009/08/23 PHP
推荐5款跨平台的PHP编辑器
2014/12/25 PHP
基于PHPexecl类生成复杂的报表表头示例
2016/10/14 PHP
浅谈laravel-admin form中的数据,在提交后,保存前,获取并进行编辑
2019/10/21 PHP
JS解析json数据并将json字符串转化为数组的实现方法
2012/12/25 Javascript
js弹出窗口之弹出层的小例子
2013/06/17 Javascript
在JavaScript中实现类的方式探讨
2013/08/28 Javascript
js对列表中第一个值处理与jsp页面对列表中第一个值处理的区别详解
2013/11/05 Javascript
javascript判断是否按回车键并解决浏览器之间的差异
2014/05/13 Javascript
Mac OS X 系统下安装和部署Egret引擎开发环境
2014/09/03 Javascript
详解JavaScript中的blink()方法的使用
2015/06/08 Javascript
JS读取XML文件数据并以table形式显示数据的方法(兼容IE与火狐)
2016/06/02 Javascript
vue自定义js图片碎片轮播图切换效果的实现代码
2019/04/28 Javascript
详解如何探测小程序返回到webview页面
2019/05/14 Javascript
vue使用高德地图根据坐标定位点的实现代码
2019/08/22 Javascript
详解利用eventemitter2实现Vue组件通信
2019/11/04 Javascript
在 Vue 中编写 SVG 图标组件的方法
2020/02/24 Javascript
[02:49]2018DOTA2亚洲邀请赛主赛事决赛日战况回顾 Mineski鏖战5局夺得辉耀
2018/04/10 DOTA
[00:20]TI9不朽观赛名额抽取
2019/08/05 DOTA
学习python 之编写简单乘法运算题
2016/02/27 Python
Python中logging实例讲解
2019/01/17 Python
python 对类的成员函数开启线程的方法
2019/01/22 Python
使用python绘制二元函数图像的实例
2019/02/12 Python
解决tensorflow训练时内存持续增加并占满的问题
2020/01/19 Python
浅谈Django QuerySet对象(模型.objects)的常用方法
2020/03/28 Python
深入理解Python变量的数据类型和存储
2021/02/01 Python
澳大利亚购买太阳镜和眼镜网站:Glamoureyes
2020/09/22 全球购物
应届生自我鉴定
2013/12/11 职场文书
公务员四风问题对照检查材料整改措施
2014/09/26 职场文书
初中家长意见
2015/06/03 职场文书
员工聘用合同范本
2015/09/21 职场文书
《童年》读后感(三篇)
2019/08/27 职场文书
导游词之襄阳古城
2019/09/27 职场文书
使用JS实现简易计算器
2021/06/14 Javascript
vue如何使用模拟的json数据查看效果
2022/03/31 Vue.js
Python中tqdm的使用和例子
2022/09/23 Python