php.ini設定檔

標籤：sqli   個人   not   request   經緯   回收   error   日期   php函數   

php.ini設定檔：

engine=On;
使PHP指令碼語言引擎在Apache下有效。當設定engine=Off後不能解析PHP檔案。

short_open_tag=Off;
設定<? code ?>標誌是否能被識別。設定short_open_tag=Off後不能識別在<? code ?>中的代碼
。

asp_tags = Off；
設定<% code %>標誌是否能被識別。設定asp_tags==Off;後不能識別。

precision = 14；
設定浮點類型資料顯示位元，包括小數點前的。此處表示共顯示14位。

y2k_compliance = Off ；
設定是否開啟2000年適應。增強相容性。

output_buffering = Off ；
開啟緩衝的輸出順序為：
echo,print--->php output_buffering--->server buffering--->brower buffering--->display
未開啟緩衝順序：
echo,print--->server buffering---> brower buffering--->display
只有輸出資料達到瀏覽器輸出緩衝長度或指令碼結束時瀏覽器才會將資料輸出到頁面上
例：

/////////////////////////////////////////////////////////////////////////////////////////////////////
<?php

for($i==0;$i<5;$i++)
{
echo $i.‘----------‘;
flush();
sleep(1);
}
?>
說明：設定output_buffering = Off；後程式輸出有間歇性。

/////////////////////////////////////////////////////////////////////////////////////////////////////
註：
當設定output_buffering = Off ；即沒有設定output_buffering時，header（）和cookie的
設定必須要在echo、print前面。當有緩衝區時可放在後面，當一定要在向瀏覽器flush（）
一次資料之前調用header()
例：

/////////////////////////////////////////////////////////////////////////////////////////////////////
設定output_buffering = Off；
<?php

for($i==0;$i<5;$i++)
{
echo $i.‘----------‘;
}

header("content-type:text/html;charset:utf-8");
?>
結果：----------1----------2----------3----------4---------- Warning: Cannot modify
header information - headers already sent by (output started at
/var/www/html/test.php:5) in /var/www/html/test.php on line 8

output_handler="ob_get_length"
output_handler=
預設為 null , 其值只能設定為一個內建的函數名，作用就是將指令碼的所有輸出，用所定義的函
數進行處理。

/////////////////////////////////////////////////////////////////////////////////////////////////////

zlib.output_compression=On
zlib.output_compression_level = 5
zlib.output_compression=On用來設定是否開啟zlib輸出壓縮。設定後其會被壓縮成gzip格式，
要求標頭中的accept-encoding變成gzip。
zlib.output_compression_level = 5被用來設定壓縮等級。

zlib.output_handler-
與output_handler相同。

implicit_flush=On
強制讓輸出層在每個輸出塊之後自動重新整理自身資料。等效於在每個echo、print後調用flush()

unserialize_callback_func=
該指令允許您控制當一個請求的響應unserializer執行個體化一個未定義類。對於大多數使用者來說，
這個指令是無關緊要的，因為PHP已經輸出一個警告，在這種情況下，如果PHP的錯誤報表被調整
到合適的水平。

serialize_precision
將浮點型和雙精確度型資料序列化儲存時的精度(有效位元)。預設值能夠確保浮點型資料被解序列
化程式解碼時不會遺失資料。

allow_call_time_pass_reference
設定是否開啟強制通過引用傳遞參數給函數。此方法已不被贊成並在 PHP/Zend 未來的版本中很
可能不再支援。鼓勵使用的方法是在函數定義中指定哪些參數應該用引用傳遞。
在函數調用時通過引用傳遞參數是不推薦的，因為它影響到了代碼的整潔。如果函數的參數沒有
聲明作為引用傳遞，函數可以通過未寫入文檔的方法修改其參數。要避免其副作用，最好僅在函
數聲明時指定那個參數需要通過引用傳遞。
例：

/////////////////////////////////////////////////////////////////////////////////////////////////////
<?php

$num=10;
priNum(&$num);
echo $num;

function priNum($num)
{
echo $num++;
echo ‘<br>‘;
}
?>
在allow_call_time_pass_reference =On能正常執行；在
allove_call_time_pass_referencee=Off時會報Emits an E_DEPRECATED level error錯誤

/////////////////////////////////////////////////////////////////////////////////////////////////////

--------------------------------------------------------
參考：http://php.net/manual/zh/ini.sect.safe-mode.php
--------------------------------------------------------
safe_mode=Off
開啟之後，主要會對系統操作、檔案、使用權限設定等方法產生影響.
具體參考：http://blog.csdn.net/tangxi383367315/article/details/7722086

safe_mode_gid=Off
預設情況下，安全模式在開啟檔案時會做 UID 比較檢查。如果想將其放寬到 GID 比較，則開啟
safe_mode_gid。是否在檔案訪問時使用 UID（FALSE）或者 GID（TRUE）來做檢查。

safe_mode_include_dir
當從此目錄及其子目錄（目錄必須在 include_path 中或者用完整路徑來包含）包含檔案時越過
UID/GID 檢查。即在此路徑中的目錄可越過UID/GID的檢查。
定的限制實際上是一個首碼，而非一個目錄名。這也就是說“safe_mode_include_dir =
/dir/incl”將允許訪問“/dir/include”和“/dir/incls”，如果它們存在的話。如果希望將訪
問控制在一個指定的目錄，那麼請在結尾加上一個斜線，例如：“safe_mode_include_dir =
/dir/incl/”。

safe_mode_exec_dir
如果 PHP 使用了安全模式，system() 和其它程式執行函數將拒絕啟動不在此目錄中的程式。必
須使用 / 作為目錄分隔字元，包括 Windows 中。
所以如果要在PHP中啟動程式，必須要放在此目錄下。

safe_mode_allowed_env_vars=PHP_
設定某些環境變數可能是潛在的安全缺口。本指令包含有一個逗號分隔的首碼列表。在安全模式
下，使用者只能改變那些名字具有在這裡提供的首碼的環境變數。預設情況下，使用者只能設定以
PHP_ 開頭的環境變數（例如 PHP_FOO = BAR）。
如果本指令為空白，PHP 將使使用者可以修改任何環境變數！

 

safe_mode_protected_env_vars=LD_LIBRARY_PATH
本指令包含有一個逗號分隔的環境變數的列表，終端使用者不能用 putenv() 來改變這些環境變數
。甚至在 safe_mode_allowed_env_vars 中設定了允許修改時也不能改變這些變數。

note：
在phpinfo頁面的Environment中可以看到環境變數，在php頁面中可通過getenv()得到環境變數值
--------------------------------------------------------

open_basedir=
將使用者可操作的檔案限制在某目錄下。
例：

/////////////////////////////////////////////////////////////////////////////////////////////////////
<?php
readfile("/var/www/html/a.txt");
?>
當未設定open_basedir時正常讀出資料；當設定open_basedir=/var/www/html/file_upload時
出現錯誤Warning: Unknown: open_basedir restriction in effect. File
(/var/www/html/test.php) is not within the allowed path(s):
(/var/www/html/file_upload) in Unknown on line 0 Warning: Unknown: failed to open
stream: Operation not permitted in Unknown on line 0 Fatal error: Unknown: Failed
opening required ‘/var/www/html/test.php‘
(include_path=‘.:/usr/share/pear:/usr/share/php‘) in Unknown on line 0

/////////////////////////////////////////////////////////////////////////////////////////////////////

disable_function=getenv
該指令接受一個用逗號分隔的函數名列表，以禁用特定的函數。
例：

/////////////////////////////////////////////////////////////////////////////////////////////////////
當設定disable_function=getenv後
<?php
echo getenv("PATH");
?>
Warning: getenv() has been disabled for security reasons in /var/www/html/test.php on
line 2

/////////////////////////////////////////////////////////////////////////////////////////////////////

disable_classes=
該指令接受一個用逗號分隔的類名列表，以禁用特定的類。與disable_function相同。

highlight.string
可以通過PHP函數highlight_string()使用PHP內建定義的此顏色，列印輸出或者返回輸出或者返
回文法高亮版本的PHP代碼。

ignore_user_abort=Off
啟用該參數會讓伺服器忽略由於使用者或瀏覽器引起的中斷所造成的會話終止，也就是說在頁面完
全載入之前你就退出或關閉瀏覽器，伺服器還會繼續處理下去，不會認為你這邊已經終止。這對
於正在更新重要的個人資訊或者提交一個商業交易非常有用。

realpath_cache_size=16K
realpath_cache_ttl = 120
參考：http://blog.csdn.net/daiyan_csdn/article/details/51880879
realpath_cache_size指定緩衝include()檔案的緩衝器大小。realpath_cache_ttl緩衝到期時間

expose_php=
設定是否在網頁頭部顯示php資訊。為了防止駭客擷取伺服器中php版本的資訊，可以關閉該資訊
斜路在http頭中：expose_php=Off

max_execution_time=30
設定每個指令碼最大執行秒數。有時候需要頗多時間才能完成的工作，例如要發送很多電子郵件給
大量收件者，或者要進行繁重的資料分析工作，伺服器會在 30 秒後強行中止正在執行的程式，
這時可以用ini_set（）函數修改配置參數，如：ini_set("max_execution_time", 1)
註：ini_set()函數可以設定很多配置參數，具體參考http://php.net/manual/zh/ini.list.php

max_input_time=60
設定每個指令碼用來分析請求資料的最大限制時間。也可通過ini_set（）設定。

max_input_nesting_level=64
設定輸入變數的最大嵌套深度。
max_input_nesting_level的值為0時只允許/index.php?a=a&b=b；
max_input_nesting_level的值為1時允許/index.php?a=a&b=b，/index.php?a[a]=aa&a[b]=ab;
例：

/////////////////////////////////////////////////////////////////////////////////////////////////////
test.php檔案
<?php
echo ‘<pre>‘;
print_r($_GET);
echo ‘</pre>‘;
?>
當設定max_input_nesting_level=1時，訪問http://123.207.248.54/test.php?a[0][0]=aa&a
[1][0]=dd 結果為：
Array
(
)
當設定max_input_nesting_level=2時，訪問http://123.207.248.54/test.php?a[0][0]=aa&a
[1][0]=dd 結果為：
Array
(
[a] => Array
(
[0] => Array
(
[0] => aa
)

[1] => Array
(
[0] => dd
)

)

)

/////////////////////////////////////////////////////////////////////////////////////////////////////

memory_limit=128M
一個指令碼所能夠申請到的最大記憶體位元組數（可以使用K和M作為單位）。有助於防止劣質指令碼消耗
完伺服器上的所有記憶體。如果要取消記憶體限制，則必須將其設為 -1 。設定了該指令後，
memory_get_usage()函數將變為可用。

error_reporting
設定錯誤報表層級。

display_errors=Off
錯誤回顯，一般常用語開發模式，但是很多應用在正式環境中也忘記了關閉此選項。錯誤回顯可
以暴露出非常多的敏感資訊，為攻擊者下一步攻擊提供便利。推薦關閉此選項。關閉狀態下，若
出現錯誤，則提示：伺服器錯誤。但是不會現錯誤提示。
註：display_errors=Off失效

display_startup_errors
設定PHP啟動時的錯誤顯示，如：設定檔中有手誤導致語法錯誤/載入的模組版本不匹配等等

log_errors="/var/www/html/php_error_log"
在正式環境下使用，把錯誤資訊記錄在日誌裡。該檔案必須對Web伺服器使用者可寫。

log_errors_max_len
設定日誌訊息的長度而不是設定記錄檔的大小。

ignore_repeated_errors
設定是否在同一行中重複顯示一樣的錯誤資訊。

ignore_repeated_source
設定是否重複顯示來自同個檔案同行代碼的錯誤

report_memleaks
設定是否報告記憶體流失。這個參數只在以調試方式編譯的PHP中起作用，並且必須在
error_reporting指令中包含 E_WARNING

report_zend_debug = On
無說明文檔。

track_errors=Off
設定是否在變數$php_errormsg中儲存最近一個錯誤或警告訊息。

html_errors=On
是否在出錯資訊中使用HTML標記。

docref_root="/phpmanual"
docref_ext=".html"
如果開啟了html_errors指令，PHP將會在出錯資訊上顯示超串連，直接連結到一個說明這個錯誤
或者導致這個錯誤的函數的頁面。你可以從http://www.php.net/docs.php下載php手冊，並將
docref_root指令指向你本地的手冊所在的URL目錄。你還必須設定docref_ext指令來指定檔案的
副檔名(必須含有‘‘.‘‘)。

error_prepend_string"<font color=#ff0000>"
設定錯誤資訊前輸出的字串。

error_append_string = "</font>"
設定錯誤資訊後輸出的字串。

arg_separator.output = "&"
PHP所產生的URL中用來分隔參數的分隔字元。
arg_separator.input="&;&"
PHP解析URL中的變數時使用的分隔字元列表。

variables_order="EGPCS"
PHP註冊 Environment, GET, POST, Cookie, Server 變數的順序。分別用 E, G, P, C, S 表示
，按從左至右註冊，新值覆蓋舊值。 設為"GP"將會導致用POST變數覆蓋同名的GET變數，

request_order="GP"
$_REQUEST這個超全域變數的值受php.ini中request_order的影響，在最新的php5.3.x系列 中，
request_order預設值為GP，也就是說預設配置下$_REQUEST只包含$_GET和$_POST而不包括
$_COOKIE。通過 COOKIE就可以提交GLOBALS變數。從而繞過了大多開來源程式中的全域變數防禦。
因此要將次選項更改為 request_order = "CGP"

register_globals=Off
設定是否將 E, G, P, C, S 變數註冊為全域變數。

register_long_arrays=On
設定是否啟用舊式的長式數組(HTTP_*_VARS)。

register_argc_argv = On
設定是否聲明$argv和$argc全域變數(包含用GET方法的資訊)。

auto_globals_jit = On
是否僅在使用到$_SERVER和$_ENV變數時才建立(而不是在指令碼一啟動時就自動建立)。
如果並未在指令碼中使用這兩個數組，開啟該指令將會獲得效能上的提升。
要想該指令生效，必須關閉register_globals和register_long_arrays指令。

post_max_size = 8M
允許的POST資料最大位元組長度。此設定也影響到檔案上傳。如果POST資料超出限制，那麼$_POST
和$_FILES將會為空白。要上傳大檔案，該值必須大於upload_max_filesize指令的值。如果啟用了
記憶體限制，那麼該值應當小於memory_limit指令的值。

magic_quotes_gpc = On
是否對輸入的GET/POST/Cookie資料使用自動字串轉義( ‘‘　"　　NULL )。這裡的設定將自動
影響 $_GEST $_POST $_COOKIE 數組的值。若將本指令與magic_quotes_sybase指令同時開啟，則
僅將單引號(‘‘)轉義為(‘‘‘‘)，其它特殊字元將不被轉義，即( "　　NULL )將保持原樣。

magic_quotes_runtime = Off
是否對運行時從外部資源產生的資料使用自動字串轉義( ‘‘　"　　NULL )。
若開啟本指令，則大多數函數從外部資源(資料庫,文字檔等)返回資料都將被轉義。

magic_quotes_sybase = Off
是否採用Sybase形式的自動字串轉義(用 ‘‘‘‘ 表示 ‘‘)

auto_prepend_file =
auto_append_file　=
指定在主檔案之前/後自動解析的檔案名稱。為空白表示禁用該特性。
該檔案就像調用了include()函數被包含進來一樣，因此會使用include_path指令的值。

default_mimetype = "text/html"
;default_charset = "iso-8859-1"
自動輸出"Content-Type: text/html; charset=iso-8859-1"。

always_populate_raw_post_data=Off
是否總是產生$HTTP_RAW_POST_DATA變數(原始POST資料)。

include_path=".:/php/includes"
指定一組目錄用於require(), include(), fopen_with_path()函數尋找檔案。

doc_root=
PHP的"根目錄"。僅在非空時有效。
如果safe_mode=On，則此目錄之外的檔案一概被拒絕。

user_dir =
告訴php在使用 /~username 開啟指令碼時到哪個目錄下去找，僅在非空時有效。也就是在使用者目錄
之下使用PHP檔案的基本目錄名.

extension_dir="./"
存放擴充庫(模組)的目錄，也就是PHP用來尋找動態擴充模組的目錄。

enable_dl=On
是否允許使用dl()函數。dl()函數僅在將PHP作為apache模組安裝時才有效。
禁用dl()函數主要是出於安全考慮，因為它可以繞過open_basedir指令的限制。
在安全模式下始終禁用dl()函數，而不管此處如何設定。

cgi.nph = Off
在CGI模式下是否強制對所有請求都發送"Status: 200"狀態代碼。

fastcgi.impersonate = Off
IIS中的FastCGI支援模仿用戶端安全性權杖的能力。這使得IIS能夠定義運行時所基於的請求的安全
上下文。Apache中的mod_fastcgi不支援此特性(03/17/2002)如果在IIS中運行則設為On，預設為
Off。

file_uploads = On
是否允許HTTP檔案上傳。

upload_tmp_dir =
檔案上傳時存放檔案的臨時目錄(必須是PHP進程使用者可寫的目錄)。
如果未指定則PHP使用系統預設的臨時目錄。

upload_max_filesize = 2M
允許上傳的檔案的最大尺寸。

allow_url_fopen = On
是否允許開啟遠程檔案.

allow_url_include = Off
是否允許include/require遠程檔案。

from=""
定義匿名ftp的密碼

user_agent="PHP"
表示通過PHP指令碼訪問網路

default_socket_timeout=60
預設socket逾時時間。

auto_detect_line_endings = Off
是否讓PHP自動偵測行結束符(EOL)。

date.timezone=
未設定TZ環境變數時用於所有日期和時間函數的預設時區。

date.default_latitude=
date.default_longitude=
date.sunrise_zenith =
date.sunset_zenith=
預設經緯度，日出日落天頂。

filter.default=
開啟了這項配置後，會自動使用filter_input方法對$_GET, $_POST, $_COOKIE, $_REQUEST以及
$_SERVER變數進行過濾轉義。

filter.default_flags
設定過濾器的標誌。預設情況下，該配置被設定為 ‘FILTER_FLAG_NO_ENCODE_QUOTES‘，為了向後
相容。查看所有的 ‘flag列表.

sql.safe_mode = Off
設定是否使用SQL安全模式。
如果開啟，指定預設值的資料庫連接函數將會使用這些預設值代替支援的參數。

mysql.allow_persistent = On
設定是否允許或禁止持久串連

mysql.max_persistent=-1
持久串連的最大數 -1代表無限制

mysql.max_links = -1
每個進程中允許的最大串連數（持久和非持久），-1代表無限制

mysql.default_port =
連結到MYSQL的連接埠。
如果沒有指定，將按如下順序尋找
(1)$MYSQL_TCP_PORT環境變數
(2)/etc/services檔案中的mysql-tcp項(unix)
(3)編譯時間指定的MYSQL_PORT常量

mysql.default_socket =
串連到本機mysql伺服器時所使用的預設套接名字，若未指定則使用內建的mysql預設值

 

mysql.default_host =
串連到MySQL資料庫時使用的預設主控件。安全模式下無效

mysql.default_user =
串連到MySQL資料庫時使用的預設使用者名。安全模式下無效

mysql.default_password =
串連到MySQL資料庫時使用的預設密碼。安全模式下無效

mysql.connect_timeout = 60
連線逾時設定

mysqli.reconnect = Off
設定是否允許重串連

session.save_handler = "files"
儲存和檢索與會話關聯的資料的處理器名字。預設為檔案("files")。
如果想要使用自訂的處理器(如基於資料庫的處理器)，可用"user"。

session.save_path = "/tmp"
傳遞給儲存處理器的參數。對於files處理器，此值是建立會話資料檔案的路徑。

session.use_cookies
控制用戶端儲存SessionID時使用哪一種方式，當它為“1”時，就說明啟動了session cookie（
初始值為1）可以使用上面我們提到的函數來查詢得到目前的session id：echo $_COOKIE
["PHPSESSID"];但是，如果client的瀏覽器不支援cookie的話，即使session.use_cookies這個參
數的值等於“1”，用上述的查詢也只會得到null。

session.use_only_cookies=1
這個選項允許管理員去保護那些在URL中傳送session id的使用者免於被攻擊

session.name=PHPSESSID
session的名稱 (作為cookie名稱來使用)。儲存在client的瀏覽器cookie中

session.auto_start = 0
在請求開始的時候初始化session.

session.cookie_lifetime = 0
cookie的生存秒數,或者如果為0就直到瀏覽器重啟.

session.cookie_path = /
cookie的有效路徑

session.cookie_domain =
cookie的有效網域名稱。

session.cookie_httponly
是否將httpOnly標誌增加到cookie上, 增加後則cookie無法被瀏覽器的指令碼語言(例如
JavaScript)存取.

session.serialize_handler = php
用於序列化資料的處理器. php是標準的PHP序列化器.

session.gc_probability = 1
session.gc_divisor = 100
定義‘記憶體回收‘進程在每次session初始化時開始的比例. 比例由 gc_probability/gc_divisor來
得出, 例如. 1/100 意味著在每次請求時有1%的機會啟動‘記憶體回收‘進程.

session.gc_maxlifetime =1400
在經過以下秒數之後, 儲存的資料會被認為是‘垃圾‘並且被記憶體回收進程清理掉.

session.bug_compat_42 =
session.bug_compat_warn=
php4.2 和更早版本有一個未公開的 特性/bug , 此特性允許你在全域初始化一個session變數,即
便 register_globals 已經被關閉. 如果此特性被使用,PHP 4.3 和更早版本會警告你. 你可以關
閉此特性並且隔離此警告. 這時候,如果開啟bug_compat_42,那此警告只是被顯示出來

session.referer_check =
檢查HTTP Referer來防止帶有id的外部URL. HTTP_REFERER 必須包含從session來的這個欄位才會
被認為是合法的.

session.entropy_length = 0
從此檔案讀取多少位元組.

session.entropy_file =
在這裡指定建立session id.

session.cache_limiter = nocache
設定為 {nocache,private,public,} 來決定HTTP緩衝的類型 留空則防止發送 anti-caching 頭.

session.cache_expire = 180
設定文檔在180分鐘之後到期.

session.hash_function = 0
選擇hash方法，0表示MD5，1表示SHA-1

session.hash_bits_per_character = 5
當轉換二進位hash資料到可讀形式時,每個字元儲存時有幾位.
4 bits: 0-9, a-f
5 bits: 0-9, a-v
6 bits: 0-9, a-z, A-Z, "-", ","

assert.active=On
設定斷言(expr)是否開啟.

assert.warning = On
對於每個失敗斷言發起一個PHP警告.

assert.bail = Off
是否保密

assert.callback = 0
如果宣告失敗則調用使用者自訂函數.

assert.quiet_eval = 0
使用當前 error_reporting() Eval一個運算式. 如果你想要在eval()附近error_reporting(0) ,
那設定為true.

com.typelib_file =
包含GUID,IID或者TypeLibs的檔案的檔案名稱的檔案的路徑

com.allow_dcom = true
允許 Distributed-COM 調用

com.autoregister_typelib = true
自動註冊位於com_load()函數的組件typlib的常量

com.autoregister_casesensitive = false
註冊常量大小寫敏感

com.autoregister_verbose = true
當有重複常量註冊時顯示警告

mbstring.language = Japanese
內部字元表示的語言.

mbstring.internal_encoding = EUC-JP
部分編碼無法作為內部編碼使用.

mbstring.http_input = auto http
輸入編碼.

mbstring.encoding_translation = Off
按照mbstring.internal_encoding的設定開啟自動編碼轉換。當設定為On時,輸入字元被轉換為內
部編碼.

mbstring.detect_order = auto
自動編碼檢測序列

mbstring.substitute_character = none;
當無法將字元從一種轉換到另一種時使用的置換符號

gd.jpeg_ignore_warning =0
告知jpeg解碼器libjpeg警告並且嘗試建立一個gd映像. 此警告會被作為一個通告顯示

soap.wsdl_cache_dir="/tmp"
設定SOAP擴充存放緩衝檔案的目錄.

soap.wsdl_cache_ttl=86400
設定當緩衝檔案被用來替換原有緩衝檔案的秒數.

 

PHP安全配置:
參考：http://www.thinkphp.cn/code/1015.html

php.ini設定檔