关于php_ini

闲着没事看了看PHP官方手册相关的东西随手写的:
配置可修改范围：
php_ini_perdir 在php.ini .htaccess 或httpd.conf中设定
php_ini_system在php.ini 或 httpd.conf设定
php_ini_all 任何
php.ini only 在php.ini

(1) register_globals(全局变量开关）
为on时，会把用户get post请求上来的参数注册成全局变量， 使得提交参数可以直接在脚本中使用， php小于等于4.2.3时设置为php~all,5.3.0开始不推荐使用基本被废弃，5.4.0移除

(2) allow_url_include(是否允许远程包含文件)
远程包含，之前接触过，在5.2.0后默认为off配置范围php~all,与之类似还有allow_url_fopen 是否允许打开远程文件，威力不如include大

(3) magic_quotes_gpc(魔术引号自动过滤）
只要开启，不采用编码或者其他特殊绕过的东西，可以使好多漏洞无法被利用，开启时会在 g p c 变量中的单引号双引号反斜杠空字符的前面加上
但是它并不会过滤$_SERVER变量 ，导致很多类似client-ip,referer一类的漏洞
能够利用，在5.3之前不被推荐，5.4以后被取消，<4.2.3时，配置范围为php~all
大于4.2.3时,是php~perdir

(4) magic_quotes_runtime(魔术引号自动过滤)
与上区别是处理对象不一样，这个只对从数据库或者文件中获取的数据进行过滤，
他的作用也大，因为很多程序员只对外部进行过滤，却没有想从数据库获得的数据
同样也危险，比如类似SQL的二次注入，攻击者先把攻击代码写入数据库，在程序读取
使用到被污染数据后触发攻击。也在5.4后被取消 配置范围在php~all,但是只有部分函数
受他影响，所以在一些情况下是可以绕过的

(5） magic_quotes_sybase(魔术引号自动过滤)
用于过滤特殊字符，与gpc处理对象相同，但会覆盖gpc的配置，即使配置了gpc=on也是没
有
效果的，与gpc处理方式不同，仅仅转义了空字符，把单引号变成了双引号，配置范围为all
在5.4.0移除了该选项

（6） safe_mode(安全模式)
安全模式是一种，php内嵌的安全机制，开启时，联动可以配置的指令有（~include_dir, ~exec_dir, ~allowed_env_vars, ~allowed_env_vars) safe_mode 指令的配置范围为 ~system,5.4后被取消
这个配置会出现下面限制：
1 所有的文件操作函数都会受到限制如，unline() file() include() 等，如 a是文件a.php a.txt 的文件所有者，文件b.txt的所有者是用户b,并且与a.php不在同一文件夹下，使用a用户户执行a.php删除文件a.txt.可以成功但是删除文件b.php会失败，对文件操作的include也一样，如果有一些脚本文件放在非Web服务启动用户所有的目录下，需要利用include等函数来加载一些类或者函数，可以使用~include_dir指令来配置可以包含的路径，
2 通过函数popen() system() exec() 等函数执行命令或者程序会提示错误，如果我们需要使用一些外部脚本，可以把他们集中放在一个目录下，然后使用~exec_dir指令来指向脚本的目录
（7） open_basedir php可访问目录
用来限制php只能访问哪些目录，通常我们只需要设置web文件目录即可如果需要加载外部脚本，则需要添加另外路径，多个目录以；分割，例~=/www/a 那么/www/下的所有文件都可以被访问，不只是a,如果/www/a/则只是a,开启后因为要验证文件路径，所以会影响效率的，<5.2.3时配置范围system,大于时是all,

（8） disable_functions（禁用函数)
禁止一些危险函数，使用时一定要把dl()禁掉，因为可以利用它来加载自定义的php扩展以突破d_f,配置范围为php.ini only ,配置禁用函数时以逗号分割

（9） display_errors and error_reporting 错误显示
显示错误和显示错误等级，没什么好说的，范围都是all

懒得写了贴张图吧在~