php审计之——ini文件简介

1、配置文件

什么是配置文件？

php(版本号).ini
这个文件是在php启动的时候被读取的，对于服务器模块版本的php，仅在web服务器启动时读取一次
对于CGI和CLI版本，每次调用都会读取
*Apache web服务器在启动时，会把目录转到根目录，
这将导致php尝试在根目录下读取php.ini，如果存在的话

*在php.ini中可以使用环境变量
.user.ini
自php 5.3.0起，php支持基于每个目录的.htaccess风格的ini文件
此类文件仅被CGI/FastCGI SAPI处理。此功能使得PECL的
htscanner扩展作废。如果使用Apache，则用.htaccess文件有同样的效果。
可以在http.conf中覆盖php.ini的值，进行更灵活的配置

2、语法简介
ini的语法，设置指令的格式是：directive=value
值可以是字符串，数字，php常量，ini常量，表达式等
【注】对大小写敏感
3、变量相关
全局变量:
register_globals = off
利与弊：
有些程序需要全局变量，这个设置的作用是关闭自动注册的全局变量
可以方便调用
但是，会有三个问题：
1、变量的来源不明确，不方便阅读代码
2、变量之间的相互覆盖，引起不必要的麻烦
3、还有一些安全相关的问题
短标签：
short_open_tag = On
这个设置决定是否允许使用php代码开始标志的缩写形式(<??>)。如果禁用了
必须使用php代码开始标志的完整形式(<?php?>)。
【注】1、在phpstudy 2018 php-5.4.45版本中，没有register_globals = off
2、在覆盖时，不同函数的相同变量名之间的覆盖
4、安全模式
safe_mode = off
限制了一些危险函数、默认关闭，在后续的版本中，有些东西都逐渐移除了
safe_mode_exec_dir = /var/www/html
如果php使用了安全模式，system()和其它程序执行函数将拒绝启动不在此目录中的程序。必须使用/作为目录分隔符，包括Windows中，就是说就是这个目录下的可以执行。
5、上传文件及目录权限
上传文件大小限制：
file_uploads = on
upload_max_filesize = 8M
文件上传临时目录
upload_tmp_dir =
不设置的话，采用系统的临时目录。（/tmp、C:\Windows\Temp）
用户访问目录限制
open_basedir = .:/tmp/
控制php脚本只能访问指定的目录，这样能够避免php脚本访问不应该访问的文件，能在一定程度上限制phpshell
6、错误信息
错误信息控制
display_error = On
是否将错误信息作为输出的一部分，站点发布后应该关闭这项功能，以免暴露信息。调试的时候要打开的。
设置错误报告级别
error_reporting = E_ALL
这个设置的作用是将错误级别设置为最高，可以显示所有的问题，方便查错，也有利于写出高质量的代码。
错误日志
error_log =
错误日志的位置，必须对web用户可写入，如果不定义则默认写入到web服务器的错误日志中去。
log_errors = on
如上所说，建议将错误日志输出到文件，而不是直接输出到前端。
log_errors_max_length = 1024
错误日志关联信息的最大长度，设置为0表示无限长度。
7、魔术引号及远程文件
魔术引号
magic_quotes_gpc = On
magic_quotes_runtime = Off
为GPC操作设置magic_quotes状态。
是否允许打开远程文件
allow_url_fopen = on
本选项激活了urlx形式 的fopen封装协议使得可以访问URL对象，例如文件。默认封装协议提供ftp和htpp协议来访问远程文件，一些扩展库例如zlib可能会注册更多的封装协议。
是否允许远程包含文件
allow_url_include = off
本选项激活允许include,include_once,require,require_once等函数使用URL形式的fopen封装协议。就是可以包含远程文件。