PHP配置文件指令很多,这里就对一些会影响PHP脚本安全的核心配置进行简要学习与记录。
0X1 register_globals(全局变量注册开关)
>状态为on时,会将用户提交的参数注册成为全局变量并初始化值为参数对应的值。
>PHP版本小于4.2.3时设置为PHP_INI_ALL。
>在PHP 5.4.0移除了该选项。设置为on且PHP版本小于5.4.0时,测试如下:
0X2 allow_url_include(是否允许包含远程文件)
>状态为on时,可直接包含远程文件,当存在include($var)且$var可控的情况下,通过$var可执行PHP代码。
>在PHP 5.2.0后默认为off,范围是PHP_INI_ALL。设置为on时,测试如下:(教训:每次修改配置后要重启一次服务)
0X3 magic_quotes_gpc(魔术引号自动过滤)
>状态为on时,会自动在GET,POST,COOKIE变量中的单引号,双引号,反斜杠,空字符(NULL)的前面加上反斜杠。
>在PHP 5中不会过滤$_SERVER变量。
>在PHP 5.4中被取消。
>PHP版本小于4.2.3,配置范围是PHP_INI_ALL。
>PHP版本大于4.2.3,配置范围是PHP_INI_PERDIR。测试如下:
0X4 magic_quotes_runtime(魔术引号自动过滤)
>数据库或文件中获取的数据对单引号,双引号,反斜杠,空字符(NULL)的前面加上反斜杠。
>在PHP 5.4中被取消,配置范围是PHP_INI_ALL。测试如下:
ini_set 为一个配置选项设置值
0X5 magic_quotes_sybase(魔术引号自动过滤)
>转义空字符和把单引号变成双引号。
>作用对象与magic_quotes_gpc作用对象一致。
>设置为on时,会覆盖magic_quotes_gpc的配置,能无视magic_quotes_gpc的on。
>在PHP 5.4中被取消,配置范围是PHP_INI_ALL。测试如下:
0X6 safe_mode(安全模式)
>安全模式是PHP内嵌的一种安全机制,配置范围是PHP_INI_SYSTEM,在PHP 5.4中被取消。
>>1)所有文件操作函数会受到限制(unlink() file() include())。
>>1)通过函数popen() system() exec()等函数执行命令或程序时会提示错误。0X7 open_basedir(PHP 可访问目录)
>目录访问限制,将访问仅限制在指定的目录内,用斜线结束路径名,因为限制实际上针对的是目录名的前缀。
>在版本小于5.2.3时,配置范围时PHP_INI_SYSTEM,大于5.2.3时是PHP_INI_ALL。0X8 disable_functions(禁用函数)
>要禁止一些危险函数时,应把dl()函数也添加刀禁止列表。
>配置禁用函数时以逗号分割。
>配置范围:php.ini only。0X9 display_errors,error_reporting(错误显示)
>display_errors显示php脚本内部错误,生产环境中建议关闭。
>error_reporting配置错误显示级别。
>配置范围:PHP_INI_ALL。
扫一扫
508
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
