推薦的php安全配置選項

標籤：reporting   特定   system   伺服器   pop   dir   推薦   代碼   pass   

推薦安全配置選項

這裡有幾個會影響安全功能的 PHP 配置設定。下面是一些顯然應該用於生產伺服器的：

register_globals 設定為 off
safe_mode 設定為 off
error_reporting 設定為 off。如果出現錯誤了，這會向使用者瀏覽器發送可見的錯誤報表資訊。對於生產伺服器，使用錯誤記錄檔代替。程式開發伺服器如果在防火牆後面就可以啟用錯誤記錄檔。（LCTT 譯註：此處據原文邏輯和常識，應該是“程式開發伺服器如果在防火牆後面就可以啟用錯誤報表，即 on。”）
停用這些函數：system()、exec()、passthru()、shell_exec()、proc_open()、和 popen()。
open_basedir 為 /tmp（以便儲存會話資訊）目錄和 web 根目錄，以便指令碼不能訪問這些選定地區外的檔案。
expose_php 設定為 off。該功能會向 Apache 頭添加包含版本號碼的 PHP 簽名。
allow_url_fopen 設定為 off。如果你能夠注意你代碼中訪問檔案的方式-也就是你驗證所有輸入參數，這並不嚴格需要。
allow_url_include 設定為 off。對於任何人來說，實在沒有明智的理由會想要訪問通過 HTTP 包含的檔案。
一般來說，如果你發現想要使用這些功能的代碼，你就不應該相信它。尤其要小心會使用類似 system() 函數的代碼-它幾乎肯定有缺陷。

啟用了這些設定後，讓我們來看看一些特定的攻擊以及能協助你保護你伺服器的方法。

推薦的php安全配置選項