本文介绍了php.ini中影响安全的关键配置,包括register_globals的关闭、magic_quotes_gpc的启用、display_errors的关闭、safe_mode的开启、open_basedir的限制、disable_functions的设置、com组件的安全配置以及expose_php的隐藏,建议在线上环境中进行这些配置以增强网站安全性。
介绍
Php默认很多选项是不安全的,给攻击者留下了很多利用的机会。
Php.ini中分号开头行为注释行,配置大都为“指令名=值”的形式,这里需要注意的是php.ini对指令名大小写敏感,a=aaa和A=aaa是不一样的。而php.ini中的值可以是字符串、数字、php常量、ini常量、表达式等。配置文件分了很多部分,例如模块部分、php全局配置、数据库配置等。
安全参数
以下有些参数设置在php高版本中已被移除,低版本存在,有些服务器使用的php版本依然是老版本没有升级,则建议进行以下参数配置。
第一个参数register_globals,它会影响php如何接受传递过来的参数,其作用是注册为全局变量,开启后,传递来的参数会被注册为全局变量直接使用。此参数建议关闭,现在基本默认都是关闭的,而且新版本已经没有这个选项了,低版本存在会开启。
第二个参数magic_quotes_gpc,开启此参数后,$_POST、$_GET、$_COOKIE接受到的单引号、
最低0.47元/天 解锁文章
扫一扫
257
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
