PHP 配置open_basedir 讓各虛擬網站獨立運行

當時覺得這跟IIS相比，實在太差了，因為在IIS裡，可以在安全性裡設定一個網站甚至一個目錄訪問時使用的匿名帳號，只要各個網站使用的帳號不一樣，網站間的安全就不會互相影響。這幾天才發現，原來當時的想法是錯的，在Apache下，也可以配置PHP來實現各網站間的相互獨立運行，雖然不能詳細控制以某個使用者運行某個網站，但至少不會再出現整個伺服器被拿下的局面。

通過配置PHP的open_basedir即可以實現該控制，這個配置在IIS下也有用，但這裡只講Apache下的配置。

open_basedir可將使用者訪問檔案的活動範圍限制在指定的地區，通常是其家目錄的路徑，也
可用符號"."來代表目前的目錄。open_basedir也可以同時設定多個目錄, 在Windows中用分號分隔目錄,在任何其它系統中用
冒號分隔目錄。當其作用於Apache模組時，父目錄中的open_basedir路徑自動被繼承。以下以Linux系統下的配置為例

方法一：在php.ini裡配置
open_basedir = .:/tmp/

方法二：在Apache配置的VirtualHost裡設定
php_admin_value open_basedir .:/tmp/

方法三：在Apache配置的Direcotry裡設定
php_admin_value open_basedir .:/tmp/

關於三個配置方法的解釋：
a、方法二的優先順序高於方法一，也就是說方法二會覆蓋方法一；方法三的優先順序高於方法二，也就是說方法三會覆蓋方法二；
b、配置目錄裡加了“/tmp/”是因為php預設的臨時檔案（如上傳的檔案、session等）會放在該目錄，所以一般需要添加該目錄，否則部分功能將無法使用；
c、配置目錄裡加了“.”是指運行php檔案的目前的目錄，這樣做可以避免每個網站一個一個設定；
d、如果網站還使用了網站目錄外的檔案，需要單獨在對應VirtualHost設定該目錄；

設定完成後，記得找個PHP網馬（如：phpspy）來玩一玩，測試一下有沒有問題，不出意外，許可權應該是控製得相當好的。
大家還有什麼PHP安全配置的經驗，歡迎分享交流。