PHP引擎php.ini参数优化深入讲解


Posted in PHP onMarch 24, 2021

PHP引擎php.ini参数优化

无论是apache还是nginx,php.ini都是适合的。而php-fpm.conf适合nginx+fcgi的配置
首先选择产品环境的php.ini(php.ini-production)
/home/oldboy/tools/php-5.3.27/php.ini-development
/home/oldboy/tools/php-5.3.27/php.ini-production

1.打开php的安全模式

php的安全模式是个非常重要的php内嵌的安全机制,能够控制一些php中的函数执行,比如system(),同时把很多文件操作的函数进行了权限控制。

 该参数配置如下:

safe_mode = off

;是否启用安全模式

;打开时,php将检查当前脚本的拥有者是否和被操作的文件的拥有者相同。

默认的php.ini是没有打开安全模式的,我们把它打开如下:

safe_mode = On

2.用户组安全

当safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同组的用户也能够对文件进行访问。建议设置为:

safe_mode_gid = off


如果不进行设置,可能我们无法对我们服务器网站目录下的文件进行操作了,比如我们需要对文件进行操作的时候。php5.3.27默认为:

safe_mode_gid = off

3.关闭危险函数

magic_quotes_pgc = Off

这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,比如把'转义为\'等,这对防止sql注入有重大作用,所以我们推荐设置为:

magic_quotes_pgc = On

4.关闭php版本信息在http头中的泄漏

为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中。

该参数默认配置如下:

expose_php = On

;是否暴露php被安装在服务器上的事实(在http头重加上其签名)

;它不会有安全上的直接威胁,但它使得客户端知道服务器上安装了php.

建议设置为

expose_php = Off

5.关闭注册全局变量

在php中提交的变量,包括使用post或get提交的变量,都将自动注册为全局变量,能够直接访问,这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭:

默认配置:

register_globals = Off

;是否将E,G,P,C,S变量注册为全局变量

;打开该指令可能会导致严重的安全问题,除非你的脚本经过非常仔细的检查。

;推荐使用预定义的超全局变量:$_ENV,$_GET,$_POST,$_COOKIE,$_SERVER

;该指令受variables_order指令的影响。

;php6中已经删除此指令。

建议设置为:

register_globals = Off

6.打开magic_quotes_gpc来防止SQl注入

magic_quotes_pgc = Off

这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,比如把'转义为\'等,这对防止sql注入有重大作用,所以我们推荐设置为:

magic_quotes_pgc = On

7.错误信息控制

一般php在没有连接到数据库或者其他情况下会有提示错误,一般错误信息中会包含php脚本当前的路径信息或者查询的SQL语句等信息,这类信息提供给黑客后,是不安全的,所以一般服务器建议禁止错误提示。

该参数默认配置如下:

display_errors = Off

;是否将错误信息作为输出的一部分显示给终端用户。应用调试时,可以打开,方便查看错误。

;在最终发布的web站点上,强烈建议你关掉这个特性,并使用错误日志代替(参看下面)。

;在最终发布的web站点打开这个特性可能暴露一些安全信息,

;例如你的web服务器上文件路径、数据库规划或别的信息。

设置为:

display_errors = Off

(php5.3.27默认即为display_errors = Off)

如果你确实是要显示错误信息,一定要设置显示错误的级别,比如只显示警告以上的信息:

error_reporting = E_WARING & ERROR

当然,最好是关闭错误提示。

8.错误日志

建议在关闭dispaly_errors后能够把错误信息记录下来,便于查找服务器运行的原因:

log_errors = On

php5.3.27默认即为log_errors = On

同时也要设置错误日志存放的目录,建议根apache的日志存在一起:

error_log = /app/logs/php_error.log

注意:给文件必须允许apache用户的和组具有写的权限

9.部分资源限制参数优化

(1)设置每个脚本运行的最长时间

当无法上传交大的文件或者后台设备数据经常超时,此事需要调整如下设置:

max_execution_time = 30

;每个脚本最大允许执行时间(秒),0表示没有限制。

;这个参数有助于阻止劣质脚本无休止的占用服务器资源。

;该指令仅影响脚本本身的运行时间,任何其他花费在脚本运行之外的时间

;如用system()/sleep()函数的使用、数据库查询、文件上传等,都不包括在内。

;在安全模式下,你不能用ini_set()在运行时改变这个设置。

(2)每个脚本使用的最大内存

memory_limit = 128M

;一个脚本所能够申请到的最大内存字节数(可以使用K和M作为单位)

;这有助于防止劣质脚本消耗完服务器上的所有内存。

;要能够使用该指令必须在编译时使用"--enable-memory-limit"配置选项。

;如果要取消内存限制,则必须将其设为-1

;设置了该指令后,memory_get_usage()函数将变为可用。

(3)每个脚本等待输入数据最长时间

max_input_time = -1

;每个脚本解析输入数据(POST,GET,upload)的最大允许时间(秒)

;-1表示不限制

设置为

max_input_time = 60;

(4)上传文件的最大许可大小

当上传较大文件时,需要调整如下参数:

upload_max_filesize = 2M;

;上传文件的最大许可大小,一些图片论坛需要这个更大的值。

10.部分安全参数优化

(1)禁止打开远程地址,记得最近出的php include的那个漏洞吗?就是在一个php程序中include了变量,那么入侵者就可以利用这个控制服务器在本地执行远程的一个php程序,例如phpshell,所以我们关闭这个。

allow_url_fopen = Off

(2)设定:cgi.fix_pathinfo=0防止Nginx文件类型错误解析漏洞

cgi.fix_pathinfo=0

11.调整php sesson信息存放类型和位置

session.save_handler = files

;存储和检索与会话关联的数据的处理器名字。默认为文件("files")
;如果想要使用自定义的处理器(如基于数据库的处理器),可用"user"
;设为"memcache"则可以使用memcache作为会话处理器(需要指定"--enable-memcache-session"编译选项)
;session.save_path = "/tmp"
;传递给存储处理器的参数。对于files处理器,此值是创建会话数据文件的路径

参考资料:
LAMP系统性能调优,第1部分:理解LAMP架构
http://www.ibm.com/developerworks/cn/linux/l-tune-lamp-1/
LAMP系统性能调优,第2部分:优化Apache和PHP
http://www.ibm.com/developerworks/cn/linux/l-tune-lamp-2.html
LAMP系统性能调优,第3部分:MySQL服务器调优
http://www.ibm.com/developerworks/cn/linux/l-tune-lamp-3.html

12.安装memcache客户端

修改配置文件,在php.ini中全局设置:
web集群session共享存储设置:
默认php.ini中session的类型和配置路径:
#session.save_handler = files
#session.save_path = "/tmp"
修改成如下设置:

session.save_handler = memcache
session.save_path = "tcp://10.0.0.18:11211"


提示:
1)10.0.0.18:11211为memcached数据库缓存的IP及端口
2)上述适合LNMP,LAMP环境
3)memcached服务器也可以是多台通过hash调度
 
使用tmps作为缓存加速缓存的文件目录

 mount -t tmpfs tmpfs /dev/shm -o size=256m
 mount -t tmpfs /dev/shm/ /tmp/eaccelerator

1.上传图片缩略图临时处理的目录/tmp
2.其他加速器临时目录 /tmp/eaccelerator

PHP 相关文章推荐
超级实用的7个PHP代码片段分享
Jan 05 PHP
PhpDocumentor 2安装以及生成API文档的方法
May 21 PHP
php中socket的用法详解
Oct 24 PHP
php无限分类使用concat如何实现
Nov 05 PHP
PHP实现的浏览器检查类
Apr 11 PHP
ThinkPHP模板标签eq if 中区分0,null,false的方法
Mar 24 PHP
php简单随机字符串生成方法示例
Apr 19 PHP
Laravel 的数据库迁移的方法
Jul 31 PHP
Laravel模型事件的实现原理详解
Mar 14 PHP
使用PHPExcel导出Excel表
Sep 08 PHP
PHP数组遍历的几种常见方式总结
Feb 15 PHP
php+mysql开发中的经验与常识小结
Mar 25 PHP
PHP使用Redis队列执行定时任务实例讲解
Mar 24 #PHP
YII2 全局异常处理深入讲解
Laravel的加密解密与哈希实例讲解
Mar 24 #PHP
laravel使用redis队列实例讲解
phpquery中文手册
Mar 18 #PHP
thinkphp5 路由分发原理
Mar 18 #PHP
is_file和file_exists效率比较
Mar 14 #PHP
You might like
php ci框架验证码实例分析
2013/06/26 PHP
php5.4以下版本json不支持不转义内容中文的解决方法
2015/01/13 PHP
PHP+jQuery实现滚屏无刷新动态加载数据功能详解
2017/05/04 PHP
PHP字符串和十六进制如何实现互相转换
2020/07/16 PHP
jQuery中文入门指南,翻译加实例,jQuery的起点教程
2007/01/13 Javascript
JavaScript 继承机制的实现(待续)
2010/05/18 Javascript
Js base64 加密解密介绍
2013/10/11 Javascript
深入理解javascript中的立即执行函数(function(){…})()
2014/06/12 Javascript
javascript实现验证身份证号的有效性并提示
2015/04/30 Javascript
浅谈JavaScript 的执行顺序
2015/08/07 Javascript
JS实现动态表格的添加,修改,删除功能(推荐)
2016/06/15 Javascript
jQuery实现的表格展开伸缩效果实例
2016/09/07 Javascript
文件上传插件SWFUpload的使用指南
2016/11/29 Javascript
JS实现中国公民身份证号码有效性验证
2017/02/20 Javascript
JavaScript中的普通函数和箭头函数的区别和用法详解
2017/03/21 Javascript
浅谈JavaScript中的属性:如何遍历属性
2017/09/14 Javascript
细说webpack源码之compile流程-入口函数run
2017/12/26 Javascript
使用vue-cli导入Element UI组件的方法
2018/05/16 Javascript
解决vue中post方式提交数据后台无法接收的问题
2018/08/11 Javascript
在Vue项目中使用jsencrypt.js对数据进行加密传输的方法
2019/04/17 Javascript
layer iframe 设置关闭按钮的方法
2019/09/12 Javascript
Vue开发中遇到的跨域问题及解决方法
2020/02/11 Javascript
vue实现购物车结算功能
2020/06/18 Javascript
Vue.extend 登录注册模态框的实现
2020/12/29 Vue.js
Python enumerate函数功能与用法示例
2019/03/01 Python
基于python中__add__函数的用法
2019/11/25 Python
纯CSS改变webkit内核浏览器的滚动条样式
2014/04/17 HTML / CSS
施华洛世奇天猫官方旗舰店:SWAROVSKI
2017/04/17 全球购物
教育科研先进个人材料
2014/01/26 职场文书
爱国卫生月实施方案
2014/02/21 职场文书
各营销点岗位职责范本
2014/03/05 职场文书
教师政风行风自查自纠报告
2014/10/21 职场文书
拿破仑传读书笔记
2015/07/01 职场文书
Angular CLI发布路径的配置项浅析
2021/03/29 Javascript
一文帮你理解PReact10.5.13源码
2021/04/03 Javascript
CSS3 制作精美的定价表
2021/04/06 HTML / CSS