PHP環境如何進一步加強安全防範？php環境安全加強的方法介紹

本篇文章給大家帶來的內容是關於PHP環境如何進一步加強安全防範？php環境安全加強的方法介紹，有一定的參考價值，有需要的朋友可以參考一下，希望對你有所協助。

PHP應用部署後，開發人員或者營運人員應該時刻關注PHP方面的漏洞訊息，升級PHP版本，對PHP環境進行安全強化。本文將給大家介紹如何從WEB安全方面讓你的網站更堅固更安全。

1.啟用 PHP 的安全模式

PHP 環境提供的安全模式是一個非常重要的內嵌安全機制，PHP 安全模式能有效控制一些 PHP 環境中的函數（例如system()函數），對大部分的檔案操作函數進行許可權控制，同時不允許對某些關鍵檔案進行修改（例如 /etc/passwd）。但是，預設的 php.ini 設定檔並沒有啟用安全模式。

您可以通過修改 php.ini 設定檔啟用 PHP 安全模式：

safe_mode = on

2.使用者組安全

當您啟用安全模式後，如果safe_mode_gid選項被關閉，PHP 指令碼能夠對檔案進行訪問，且相同使用者組的使用者也能夠對該檔案進行訪問。

因此，建議您將該選項設定為關閉狀態：

safe_mode_gid = off

注意： 該選項參數僅適用於 Linux 作業系統。

如果不進行該設定，您可能無法對伺服器網站目錄下的檔案進行操作。

3.安全模式下執行程式主目錄

如果啟用了安全模式後，想要執行某些程式的時候，可以指定需要執行程式的主目錄，例如：

safe_mode_exec_dir = /usr/bin

一般情況下，如果不需要執行什麼程式，建議您不要指定執行系統程式的目錄。您可以指定一個目錄，然後把需要執行的程式拷貝到這個目錄即可，例如：

safe_mode_exec_dir = /temp/cmd

但是，更推薦您不要執行任何程式。這種情況下，只需要將執行目錄指向網頁目錄即可：

safe_mode_exec_dir = /usr/www

注意：執行目錄的路徑以您實際作業系統目錄路徑為準。

4.安全模式下包含檔案

如果您需要在安全模式下包含某些公用檔案，您只需要修改以下選項即可：

safe_mode_include_dir = /usr/www/include/

一般情況下，PHP 指令碼中包含的檔案都是在程式已經寫好的，可以根據您的具體需要進行設定。

5.控制 PHP 指令碼能訪問的目錄

使用open_basedir選項能夠控制 PHP 指令碼只能訪問指定的目錄，這樣能夠避免 PHP 指令碼訪問不應該訪問的檔案，一定程度下降低了 phpshell 的危害。一般情況下，可以設定為只能訪問網站目錄：

open_basedir = /usr/www

6.關閉危險函數

如果您啟用了安全模式，那麼可以不需要設定函數禁止，但為了安全考慮，還是建議您進行相關設定。例如，您不希望執行包括system()等在內的執行命令的 PHP 函數，以及能夠查看 PHP 資訊的phpinfo()等函數，那麼您可以通過以下設定禁止這些函數：

disable_functions = system, passthru, exec, shell_exec, popen, phpinfo, escapeshellarg, escapeshellcmd, proc_close, proc_open, dl

如果您想要禁止對於任何檔案和目錄的操作，那麼您可以關閉以下檔案相關操作。

disable_functions = chdir, chroot, dir, getcwd, opendir, readdir, scandir, fopen, unlink, delete, copy, mkdir, rmdir, rename, file, file_get_contents, fputs, fwrite, chgrp,chmod, chown

注意： 以上設定中只列舉了部分比較常用的檔案處理函數，您也可以將上面的執行命令函數和這些檔案處理函數相結合，就能給抵制大部分的 phpshell 威脅。

7.關閉 PHP 版本資訊在 HTTP 頭中的泄露

為了防止駭客擷取伺服器中 PHP 版本的資訊，您可以禁止該資訊在 HTTP 頭部內容中泄露：

expose_php = off

這樣設定之後，駭客在執行telnet <domain> 80嘗試串連您的伺服器的時候，將無法看到 PHP 的版本資訊。

8.關閉註冊全域變數

在 PHP 環境中提交的變數，包括使用 POST 或者 GET 命令提交的變數，都將自動註冊為全域變數，能夠被直接存取。這對您的伺服器是非常不安全的，因此建議您將註冊全域變數的選項關閉，禁止將所提交的變數註冊為全域變數。

register_globals = off

注意： 該選項參數在 PHP 5.3 以後的版本中已被移除。

當然，如果這樣設定之後，擷取對應變數的時候就需要採取合理方式。例如，擷取 GET 命令提交的變數 var，就需要使用$_GET['var']命令來進行擷取，在進行 PHP 程式設計時需要注意。

9.SQL 注入防護

SQL 注入是一個非常危險的問題，小則造成網站後台被入侵，重則導致整個伺服器淪陷。

magic_quotes_gpc選項預設是關閉的。如果開啟該選項，PHP 將自動把使用者提交對 SQL 查詢的請求進行轉換（例如，把 ’ 轉換為 \’ 等），這對於防止 SQL 插入式攻擊有很大作用，因此建議您將該選項設定為：

magic_quotes_gpc = on

注意： 該選項參數在 PHP 5.4.0 以後的版本中已被移除。

所以最好使用PDO預先處理方式處理SQL查詢。

10.錯誤資訊控制

一般 PHP 環境在沒有串連到資料庫或者其他情況下會有錯誤提示資訊，錯誤資訊中可能包含 PHP 指令碼當前的路徑資訊或者查詢的 SQL 陳述式等資訊，這類資訊如果暴露給駭客是不安全的，因此建議您禁止該錯誤提示：

display_errors = Off

如果您確實要顯示錯誤資訊，一定要設定顯示錯誤資訊的層級。例如，只顯示警告以上的錯誤資訊：

error_reporting = E_WARNING & E_ERROR

注意： 強烈建議您關閉錯誤提示資訊。

11.錯誤記錄檔

建議您在關閉錯誤提示資訊後，對於錯誤資訊進行記錄，便於排查伺服器運行異常的原因：

log_errors = On

同時，需要設定錯誤記錄檔存放的目錄，建議您將 PHP 錯誤記錄檔與 Apache 的日誌存放在同一目錄下：

error_log = /usr/local/apache2/logs/php_error.log

注意： 該檔案必須設定允許 Apache 使用者或使用者組具有寫的許可權。