[PHP-Core-SafeMode]
; 安全模式是为了解决共享服务器的安全问题而设立的。
; 但试图在 PHP层解决这个问题在结构上是不合理的,
; 正确的做法应当是修改 Web服务器层和操作系统层。
; 因此在 PHP6 中废除了安全模式,并打算使用 open_basedir 指令取代之。
safe_mode = Off
;SYS
; 是否启用安全模式。
; 打开时,PHP 将检查当前脚本的拥有者是否和被操作的文件的拥有者相同,
; 相同则允许操作,不同则拒绝操作。
safe_mode_gid = Off
;SYS
; 在安全模式下,默认在访问文件时会做 UID 比较检查。
; 但有些情况下严格的 UID 检查反而是不适合的,宽松的GID 检查已经足够。
; 如果你想将其放宽到仅做 GID 比较,可以打开这个参数。
safe_mode_allowed_env_vars = "PHP_"
;SYS
; 在安全模式下,用户仅可以更改的环境变量的前缀列表(逗号分隔)。
; 允许用户设置某些环境变量,可能会导致潜在的安全漏洞。
; 注意: 如果这一参数值为空,PHP 将允许用户更改任意环境变量!
safe_mode_protected_env_vars = "LD_LIBRARY_PATH"
;SYS
; 在安全模式下,用户不能更改的环境变量列表(逗号分隔)。
; 这些变量即使在 safe_mode_allowed_env_vars 指令设置为允许的情况下也会得到保护。
safe_mode_exec_dir ="/usr/local/php/bin"
;SYS
; 在安全模式下,只有该目录下的可执行程序才允许被执行系统程序的函数执行。
; 这些函数是:system, escapeshellarg,escapeshellcmd, exec, passthru,
;proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec
safe_mode_include_dir =
;SYS
; 在安全模式下,该组目录和其子目录下的文件被包含时,将跳过 UID/GID 检查。
; 换句话说,如果此处的值为空,任何 UID/GID 不符合的文件都不允许被包含。
; 这里设置的目录必须已经存在于 include_path 指令中或者用完整路径来包含。
; 多个目录之间用冒号(Win 下为分号)隔开。
; 指定的限制实际上是一个前缀,而非一个目录名,
; 也就是说"/dir/incl"将允许访问"/dir/include"和"/dir/incls"
; 如果您希望将访问控制在一个指定的目录,那么请在结尾加上斜线。
sql.safe_mode = Off
;SYS
; 是否使用 SQL 安全模式。
; 如果打开,指定默认值的数据库连接函数将会使用这些默认值代替支持的参数。
; 对于每个不同数据库的连接函数,其默认值请参考相应的手册页面。
[PHP-Core-Safe]
allow_url_fopen =On
;ini
; 是否允许打开远程文件
allow_url_include = Off
;SYS
; 是否允许 include/require 远程文件。
disable_classes =
;ini
; 该指令接受一个用逗号分隔的类名列表,以禁用特定的类。
disable_functions =
;ini
; 该指令接受一个用逗号分隔的函数名列表,以禁用特定的函数。
enable_dl = On
;SYS
; 是否允许使用 dl()函数。dl()函数仅在将 PHP 作为 apache模块安装时才有效。
; 禁用 dl()函数主要是出于安全考虑,因为它可以绕过 open_basedir 指令的限制。
; 在安全模式下始终禁用 dl()函数,而不管此处如何设置。
expose_php = On
;ini
; 是否暴露 PHP被安装在服务器上的事实(在 http 头中加上其签名)。
; 它不会有安全上的直接威胁,但它使得客户端知道服务器上安装了 PHP。
open_basedir =
;SYS
; 将 PHP允许操作的所有文件(包括文件自身)都限制在此组目录列表下。
; 当一个脚本试图打开一个指定目录树之外的文件时,将遭到拒绝。
; 所有的符号连接都会被解析,所以不可能通过符号连接来避开此限制。
; 特殊值'.'指定了存放该脚本的目录将被当做基准目录。
; 但这有些危险,因为脚本的工作目录可以轻易被 chdir()改变。
; 对于共享服务器,在 httpd.conf 中灵活设置该指令将变得非常有用。
; 在 Windows 中用分号分隔目录,UNIX 系统中用冒号分隔目录。
; 作为 Apache 模块时,父目录中的 open_basedir 路径将自动被继承。
; 指定的限制实际上是一个前缀,而非一个目录名,
; 也就是说"/dir/incl"将允许访问"/dir/include"和"/dir/incls",
; 如果您希望将访问控制在一个指定的目录,那么请在结尾加上一个斜线。
; 默认是允许打开所有文件。
http://user.qzone.qq.com/2858415798/blog/1451869352
QQ:2858415798