php中的安全模式是指的什么?

原创 2006年05月18日 11:15:00

手册如是说:
章 24. 安全模式
目录
被安全模式限制或屏蔽的函数
PHP 的安全模式是为了试图解决共享服务器(shared-server)安全问题而设立的。在结构上,试图在 PHP 层上解决这个问题是不合理的,但修改 WEB 服务器层和操作系统层显得非常不现实。因此许多人,特别是 ISP,目前使用安全模式。


表格 24-1. 控制安全模式的设置选项有:

设置选项 默认值
safe_mode Off
safe_mode_gid 0
safe_mode_include_dir ""
safe_mode_exec_dir 1
open_basedir ""
safe_mode_allowed_env_vars PHP_
safe_mode_protected_env_vars LD_LIBRARY_PATH
disable_functions ""


当 safe_mode 设置为 on,PHP 将检查当前脚本的拥有者是否和将被文件函数操作的文件的拥有者相匹配。例如: -rw-rw-r-- 1 rasmus rasmus 33 Jul 1 19:20 script.php
-rw-r--r-- 1 root root 1116 May 26 18:01 /etc/passwd

运行 script.php <?php
readfile('/etc/passwd');
?>

如果安全模式被激活,则将会导致以下错误: Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not
allowed to access /etc/passwd owned by uid 0 in /docroot/script.php on line 2



同时,或许会存在这样的环境,在该环境下,宽松的 GID 检查已经足够,但严格的 UID 检查反而是不适合的。您可以用 safe_mode_gid 选项来控制这种检查。如果设置为 On 则进行宽松的 GID 检查;设置为 Off(默认值)则进行 UID 检查。

除了 safe_mode 以外,如果您设置了 open_basedir 选项,则所有的文件操作将被限制在您指定的目录下。例如: <Directory /docroot>
php_admin_value open_basedir /docroot
</Directory>

如果您在设置了 open_basedir 选项后运行同样的 script.php,则其结果会是: Warning: open_basedir restriction in effect. File is in wrong directory in
/docroot/script.php on line 2



您也可以单独地屏蔽某些函数。请注意 disable_functions 选项不能在 php.ini 文件外部使用,也就是说您无法在 httpd.conf 文件的按不同虚拟主机或不同目录的方式来屏蔽函数。 如果我们将如下内容加入到 php.ini 文件: disable_functions readfile,system

则我们会得到如下的输出: Warning: readfile() has been disabled for security reasons in
/docroot/script.php on line 2



被安全模式限制或屏蔽的函数
以下安全模式列表可能不完整或不正确。

表格 24-2. 安全模式限制函数

函数名 限制
dbmopen() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。
dbase_open() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。
filepro() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。
filepro_rowcount() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。
filepro_retrieve() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。
ifx_*() sql_safe_mode 限制, (!= safe mode)
ingres_*() sql_safe_mode 限制, (!= safe mode)
mysql_*() sql_safe_mode 限制, (!= safe mode)
pg_loimport() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。
posix_mkfifo() 将检查您将要操作的目录和正在执行的脚本是否有相同的 UID。
putenv() 遵循 ini 设置的 safe_mode_protected_env_vars 和 safe_mode_allowed_env_vars 选项。请参考 putenv() 函数的有关文档。
move_uploaded_file() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。
chdir() 将检查您将要操作的目录和正在执行的脚本是否有相同的 UID。
dl() 该函数在安全模式中已被屏蔽。
backtick operator 该函数在安全模式中已被屏蔽。
shell_exec()(在功能上和 backticks 函数相同) 该函数在安全模式中已被屏蔽。
exec() 您只能在 safe_mode_exec_dir 设置的目录下进行执行操作。基于某些原因,目前不能在可执行对象的路径中使用 ..。
system() 您只能在 safe_mode_exec_dir 设置的目录下进行执行操作。基于某些原因,目前不能在可执行对象的路径中使用 ..。
passthru() 您只能在 safe_mode_exec_dir 设置的目录下进行执行操作。基于某些原因,目前不能在可执行对象的路径中使用 ..。
popen() 您只能在 safe_mode_exec_dir 设置的目录下进行执行操作。基于某些原因,目前不能在可执行对象的路径中使用 ..。
mkdir() 将检查您将要操作的目录和正在执行的脚本是否有相同的 UID。
rmdir() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。
rename() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。 将检查您将要操作的目录和正在执行的脚本是否有相同的 UID。
unlink() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。 将检查您将要操作的目录和正在执行的脚本是否有相同的 UID。
copy() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。 将检查您将要操作的目录和正在执行的脚本是否有相同的 UID。 (on source and target)
chgrp() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。
chown() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。
chmod() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。 另外,您不能设置 SUID、SGID 和 sticky bits
touch() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。 将检查您将要操作的目录和正在执行的脚本是否有相同的 UID。
symlink() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。 将检查您将要操作的目录和正在执行的脚本是否有相同的 UID。 (注意:仅测试 target)
link() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。 将检查您将要操作的目录和正在执行的脚本是否有相同的 UID。 (注意:仅测试 target)
getallheaders() 在安全模式下,以“authorization”(区分大小写)开头的头信息将不会被返回。警告:getallheaders() 无法在 aol-server 下实现!
header() 在安全模式下,如果您设置了 WWW-Authenticate,当前脚本的 uid 将被添加到该头信息的 realm 部分。
highlight_file(), show_source() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。 将检查您将要操作的目录和正在执行的脚本是否有相同的 UID。 (注意,仅在 4.2.1 版本后有效)
parse_ini_file() 将检查您将要操作的文件/目录与正在执行的脚本是否有相同的 UID。 将检查您将要操作的目录和正在执行的脚本是否有相同的 UID。 (注意,仅在 4.2.1 版本后有效)
任何使用 php4/main/fopen_wrappers.c 的函数 ??

几个有用的PHP.ini配置项-安全模式

安全模式 1、建议不要使用安全模式,该模式已经在PHP 5.3.0中删除。 下列所有配置项都不依赖于safe_mode配置项 2、open_basedir = string 作用域:PHP_INI...
  • mole
  • mole
  • 2015年01月04日 21:53
  • 1331

rgba中的a是指?CSS之RGBA颜色指南

RGBA是一种可以设置颜色值和透明度的CSS颜色   下面是用rgba() 设置50%透明度的白色.   p {   color: rgba(255, 255, 255,...
  • Heavy_Dream
  • Heavy_Dream
  • 2016年12月06日 20:34
  • 11909

事务的ACID是指什么

1)原子性(Atomic):事务中各项操作,要么全做要么全不做,任何一项操作的失败都会导致整个事务的失败; 2)一致性(Consistent):事务结束后系统状态是一致的; 3)隔离性(Isola...
  • HelloCqk1
  • HelloCqk1
  • 2016年04月25日 20:19
  • 1039

android fw调试 按键派发给谁

在android维护或者开发的时候,经常和应用的同事干仗。 原因就是某些测试情况下,按键或者点击没有被相应。 app同事说:我草,你大爷,我就没收到,我没法相应。 这个时候为了打脸,你就需要在fw添加...
  • shi_xin
  • shi_xin
  • 2017年02月15日 13:53
  • 203

php不启用save_mode安全模式的设置方法

安全配置一 (1) 打开php的安全模式   php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),   同时把很多文件操作函数进行了权限控制,也不允许对某...
  • u011986449
  • u011986449
  • 2014年09月12日 10:54
  • 1457

php 钩子函数

理解钩子Hook以及在Thinkphp下利用钩子使用行为扩展 什么是钩子函数 个人理解:钩子就像一个”陷阱”、”监听器”,当A发送一个消息到B时,当消息还未到达目的地B时,被钩子拦截调出一部分代码做...
  • lhls11
  • lhls11
  • 2016年06月09日 20:49
  • 800

android安全模式

Android  安全模式的分析 手机安装第三方软件后,有一定的概率出现软件与系统不兼容的情况,例如,系统文件操作,手机无法正常开机或开机或系统程序不停报错的现象.遇到此类现象,可重启,使手机进入...
  • Arlen6310
  • Arlen6310
  • 2016年12月14日 13:57
  • 718

计算机系统内的字长到底指的是什么?

字长:CPU一次操作可以处理的二进制位数, 1字长 = 1 bit 字长越大,CPU运算能力越牛逼 举例子 一个字长是8的cpu,一次能进行不大于1111,1111 (8位) 的运算...
  • u012861978
  • u012861978
  • 2016年04月24日 21:13
  • 788

【soap】soap协议是什么

一、什么是 SOAP?      SOAP 指简易对象访问协议      SOAP 是一种通信协议      SOAP 用于应用程序之间的通信      SOAP 是一种用于发送消息的格式     ...
  • yanhui_wei
  • yanhui_wei
  • 2014年03月28日 17:59
  • 1288

Java NIO笔记(八):选择器

NIO中的选择器(Selector)
  • abc_key
  • abc_key
  • 2014年06月23日 22:34
  • 4928
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:php中的安全模式是指的什么?
举报原因:
原因补充:

(最多只允许输入30个字)