PHP安全

用shell编辑PHP.INI之后如何让APACHE重启？

　　safe_mode = off 关闭他，或者更多权限 如system() 函数执行cmd命令 （渗透）

 

(2) 用户组安全　　当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同　　组的用户也能够对文件进行访问。　　建议设置为：　　safe_mode_gid = off 

如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要　　对文件进行操作的时候。 （防御）

 

(3) 安全模式下执行程序主目录　　如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录：　　safe_mode_exec_dir = D:/usr/bin （渗透，把可以执行目录的文件放到该目录，假如开启了safe_mode模式）

 

一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，　　然后把需要执行的程序拷贝过去，比如：　　safe_mode_exec_dir = D:/tmp/cmd　　但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：　　safe_mode_exec_dir = D:/usr/www

 

 

(5) 控制php脚本能访问的目录　　使用open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问　　不应该访问的文件，一定程度上限制了phpshell的危害，我们一般可以设置为只能访问网站目录：　　open_basedir = D:/usr/www

 

 

(6) 关闭危险函数　　如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，　　我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的　　phpinfo()等函数，那么我们就可以禁止它们：　　disable_functions = system,passthru,exec,shell_exec,popen,phpinfo