Apache模式安裝時可能遇到的攻擊及解決辦法

當 PHP 以 Apache 模組方式安裝時，它將繼承 Apache 使用者（通常為“nobody”）的許可權。這對安全和認證有一些影響。比如，如果用 PHP 來訪問資料庫，除非資料庫有自己的存取控制，否則就要使“nobody”使用者可以訪問資料庫。這意味著惡意的指令碼在不用提供使用者名稱和密碼時就可能訪問和修改資料庫。一個 web Spider 也完全有可能偶然探索資料庫的管理頁面，並且刪除所有的資料庫。可以通過 Apache 認證來避免此問題，或者用 LDAP、.htaccess 等技術來設計自己的訪問模型，並把這些代碼作為 PHP 指令碼的一部分。

通常，一但安全性達到可以使 PHP 使用者（這裡也就是 Apache 使用者）承擔的風險極小的程度時候，可能 PHP 已經到了阻止向使用者目錄寫入任何檔案或禁止訪問和修改資料庫的地步了。這就是說，無論是正常的檔案還是非正常的檔案，無論是正常的資料庫事務來是惡意的請求，都會被拒之門外。

一個常犯的對安全性不利的錯誤就是讓 Apache 擁有 root 許可權，或者通過其它途徑斌予 Apache 更強大的功能。

把 Apache 使用者的許可權提升為 root 是極度危險的做法，而且可能會危及到整個系統的安全。所以除非是安全專家，否則決不要考慮使用 su，chroot 或者以 root 許可權運行。

除此之外還有一些比較簡單的解決方案。比如說可以使用 open_basedir 來限制哪些目錄可以被 PHP 使用。也可以設定 Apache 的專屬地區，從而把所有的 web 活動都限制到非使用者和非系統檔案之中。

