php中safe_mode安全模式配置詳解

當安全模式開啟的時候，以下函數列表的功能將會受到限制：

chdir , move_uploaded_file,  chgrp,  parse_ini_file,  chown,  rmdir,  copy,  rename,  fopen,  require,  highlight_file,  show_source,  include,  symlink,  link,  touch,  mkdir,  unlink

同樣的，一些php擴充中的函數也將會受到影響。(載入模組：在安全模式下dl函數將被禁止，如果要載入擴充的話，只能修改php.ini中的擴充選項，在php啟動的時候載入)

在php安全模式開啟的時候，需要執行作業系統程式的時候，必須是在safe_mode_exec_dir選項指定目錄的程式，否則執行將失敗。即使允許執行，那麼也會自動的傳遞給escapeshellcmd函數進行過濾。

以下執行命令的函數列表將會受到影響：

exec, shell_exec, passthru, system, popen

另外，背部標記操作符(`)也將被關閉。

當運行在安全模式下，雖然不會引起錯誤，但是 putenv 函數將無效。同樣的，其他一些嘗試改變php環境變數的函數set_time_limit, set_include_path等也將被忽略。

1、所有輸入輸出函數（例如fopen()、file()和require()）的適用會受到限制，只能用於與調用這些函數的指令碼有相同擁有者的檔案。例如，假定啟用了安全模式，如果Mary擁有的指令碼調用fopen(),嘗試開啟由Jonhn擁有的一個檔案，則將失敗。但是，如果Mary不僅擁有調用 fopen()的指令碼，還擁有fopen()所調用的檔案，就會成功。
2、如果試圖通過函數popen()、system()或exec()等執行指令碼，只有當指令碼位於safe_mode_exec_dir配置指令指定的目錄才可能。
3、HTTP驗證得到進一步加強，因為驗證指令碼用於者的UID劃入驗證領域範圍內。此外，當啟用安全模式時，不會設定PHP_AUTH。
4、如果適用MySQL資料庫伺服器，連結MySQL伺服器所用的使用者名稱必須與調用mysql_connect()的檔案擁有者使用者名稱相同。

1) 開啟php的安全模式

　　php的安全模式是個非常重要的內嵌的安全機制，能夠控制一些php中的函數，比如system()，
　　同時把很多檔案操作函數進行了許可權控制，也不允許對某些關鍵檔案的檔案，比如/etc/passwd，
　　但是預設的php.ini是沒有開啟安全模式的，我們把它開啟：
　　safe_mode = on

(2) 使用者組安全

　　當safe_mode開啟時，safe_mode_gid被關閉，那麼php指令碼能夠對檔案進行訪問，而且相同
　　組的使用者也能夠對檔案進行訪問。
　　建議設定為：

　　safe_mode_gid = off

　　如果不進行設定，可能我們無法對我們伺服器網站目錄下的檔案進行操作了，比如我們需要
　　對檔案進行操作的時候。

(3) 安全模式下執行程式主目錄

　　如果安全模式開啟了，但是卻是要執行某些程式的時候，可以指定要執行程式的主目錄：

　　safe_mode_exec_dir = D:/usr/bin

　　一般情況下是不需要執行什麼程式的，所以推薦不要執行系統程式目錄，可以指向一個目錄，
　　然後把需要執行的程式拷貝過去，比如：

　　safe_mode_exec_dir = D:/tool/exe

　　但是，我更推薦不要執行任何程式，那麼就可以指向我們網頁目錄：

　　safe_mode_exec_dir = D:/usr/www

(4) 安全模式下包含檔案

　　如果要在安全模式下包含某些公用檔案，那麼就修改一下選項：

　　safe_mode_include_dir = D:/usr/www/include/

　　其實一般php指令碼中包含檔案都是在程式自己已經寫好了，這個可以根據具體需要設定。

　　(5) 控制php指令碼能訪問的目錄

　　使用open_basedir選項能夠控制PHP指令碼只能訪問指定的目錄，這樣能夠避免PHP指令碼訪問
　　不應該訪問的檔案，一定程度上限制了phpshell的危害，我們一般可以設定為只能訪問網站目錄：

　　open_basedir = D:/usr/www

(6) 關閉危險函數

　　如果開啟了安全模式，那麼函數禁止是可以不需要的，但是我們為了安全還是考慮進去。比如，
我們覺得不希望執行包括system()等在那的能夠執行命令的php函數，或者能夠查看php資訊的
　　phpinfo()等函數，那麼我們就可以禁止它們：

　　disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

　　如果你要禁止任何檔案和目錄的操作，那麼可以關閉很多檔案操作

disable_functions=chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,

copy,mkdir,rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

　　以上只是列了部分不叫常用的檔案處理函數，你也可以把上面執行命令函數和這個函數結合，
　　就能夠抵制大部分的phpshell了。

(7) 關閉PHP版本資訊在http頭中的泄漏

　　我們為了防止駭客擷取伺服器中php版本的資訊，可以關閉該資訊斜路在http頭中：

　　expose_php = Off

　　比如駭客在 telnet www.target.com 80 的時候，那麼將無法看到PHP的資訊。

(8) 關閉註冊全域變數

　　在PHP中提交的變數，包括使用POST或者GET提交的變數，都將自動註冊為全域變數，能夠直接存取，
　　這是對伺服器非常不安全的，所以我們不能讓它註冊為全域變數，就把註冊全域變數選項關閉：
　　register_globals = Off
　　當然，如果這樣設定了，那麼擷取對應變數的時候就要採用合理方式，比如擷取GET提交的變數var，
　　那麼就要用$_GET['var']來進行擷取，這個php程式員要注意。

(9) 開啟magic_quotes_gpc來防止SQL注入

　　SQL注入是非常危險的問題，小則網站後台被入侵，重則整個伺服器淪陷，

　　所以一定要小心。php.ini中有一個設定：

　　magic_quotes_gpc = Off

　　這個預設是關閉的，如果它開啟後將自動把使用者提交對sql的查詢進行轉換，
　　比如把 ' 轉為 '等，這對防止sql注射有重大作用。所以我們推薦設定為：

　　magic_quotes_gpc = On