PHP 安全设置

分享 / 1 / 6 / 创建于 7年前

open_basedir = website_root_path ，将 PHP 所能打开的文件限制在指定的目录，php文档
allow_url_fopen = off 禁用引入远程文件 php文档
disable_functions = fun1,fun2 禁用危险系统函数 php文档
expose_php = Off 隐藏 php 版本号 php文档
cgi.fix_pathinfo = 0 防止上传恶意脚本，详情请查看鸟哥博客地址
display_errors = Off 隐藏错误信息
log_errors = On 开启错误日志

微信订阅号：Nick同学

课程读者 239 声望

暂无个人描述~

《L02 从零构建论坛系统》

以构建论坛项目 LaraBBS 为线索，展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。

《G01 Go 实战入门》

从零开始带你一步步开发一个 Go 博客项目，让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。

讨论数量: 6

22

379 声望

可以

7年前评论

mingyun

27 声望

allow_url_fopen = off这个一般不会关闭吧，否则file_get_contents('php://input')没法用了

7年前评论

Nick

课程读者 239 声望

@mingyun 是的，fopen() 这类函数也无法使用，这些配置不是强制的，假如你的服务器是 Apache ，那么 cgi.fix_pathinfo = 0 也不需要设置的！

7年前评论

4uuu_Nya

课程读者 1 声望

allow_url_fopen倒不是很重要，但是allow_url_include如果非必须一定记得关闭

7年前评论

mingyun

27 声望

@sco4x0 具体说说

7年前评论

4uuu_Nya

课程读者 1 声望

开启了allow_url_include后，可以使用封装协议，最常用的两个php://input和php://filter

我用来测试的都在allow_url_fopen 为Off，allow_url_include为On的情况下进行的

file

测试的代码

<?php
echo include($_GET['f']);
?>

第一个案例 php://input 可使用的情况下会造成的任意代码执行

file

第二个案例php://filter 可使用的情况可能会造成的任意文件读取

file

base64编码的内容就是index.php的内容

7年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助