PHP安全加固(较新)

介绍

PHP目前的网站也比较多,安全问题也变得更为重要，php环境提供的安全模式是个非常重要的内嵌的安全机制,下面讲解如何使用php的安全功能来保护网站的安全性

启用php的安全模式

safe_mode(PHP安全模式在5.4的时候已经不再支持)
是否启用 PHP 的安全模式。php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd，但是默认的php.ini是没有打开安全模式的，我们把它打开：
safe_mode = on(默认是off状态)

在php5.6中搜索safe_mode的话会出现sql.safe_mode,这个是关于sql的安全模式，开启后则MySQL和Ingres扩展将忽略提供的主机，用户和密码信息，并将仅使用默认值。也就是说启用后,并在配置参数在php.ini中设置数据库主机，用户名和密码(sql.safe_mode在php7.2已经删除)
例如

sql.safe_mode = On
mysqli.default_host = "127.0.0.1"
mysqli.default_port = "3306"
mysqli.default_user = "root"
mysqli.default_pw = "Password123"

使用的时候不需要在php脚本中设置数据库账号和密码
只需要

$oDB = new mysqli();
$oDB->select_db( "database_name" );

这样就行了,当然这样有好有坏,这样就写死了不灵活,只是相对于安全一点而已

控制php脚本能访问的目录

使用open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问不应该访问的文件，一定程序上显示了phpshell的危害，我们一般可以设置为只能访问网站目录：

open_basedir = /usr/www

关闭危险函数

disable_functions = system, passthru, exec, shell_exec, popen, phpinfo, escapeshellarg, escapeshellcmd, proc_close, proc_open, dl


**如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作**
disable_functions = chdir, chroot, dir, getcwd, opendir, readdir, scandir, fopen, unlink, delete, copy, mkdir, rmdir, rename, file, file_get_contents, fputs, fwrite, chgrp,chmod, chown unlink, delete, copy, mkdir, rmdir, rename, file, file_get_contents, fputs, fwrite, chgrp,chmod, chown

以上只是列了部分比较常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，就能给抵制大部分的phpshell了。

关闭php版本信息在http头中的泄露

expose_php = off

这个php5.6默认是启动的,所以我们要禁用设置为off
比如黑客在 telnet domain 80 的时候，那么将无法看到PHP的信息

SQL注入防护

magic_quotes_gpc = on

这个默认是关闭的，如果它打开(off设置为on)后将自动把用户提交对sql的查询进行转换，比如把 ' 转为 \' 等这对防止sql注入有很大作用

错误信息控制

display_errors = Off

如果你确实要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：

error_reporting = E_WARNING & E_ERROR

建议关闭错误提示。

错误日志

建议在关闭display_errors后能够把是错误信息记录下来，便于排查服务器运行的原因：

log_errors = On

同时也要设置错误日志存放的目录，建议根apache的日志存在一起：

error_log = /usr/local/apache2/logs/php_error.log

注意：给文件必须允许apache用户或组具有写的权限。

总结

上面列出是一些最基本的安全加固,随着技术不断更新,安全加固也会随着不断进行改变,然后我们再进行修补,最大化的降低安全问题