PHP 安全设置

分享 / 2 / 6 / 创建于 8年前

open_basedir = website_root_path ，将 PHP 所能打开的文件限制在指定的目录，php文档
allow_url_fopen = off 禁用引入远程文件 php文档
disable_functions = fun1,fun2 禁用危险系统函数 php文档
expose_php = Off 隐藏 php 版本号 php文档
cgi.fix_pathinfo = 0 防止上传恶意脚本，详情请查看鸟哥博客地址
display_errors = Off 隐藏错误信息
log_errors = On 开启错误日志

课程读者 266 声望

暂无个人描述~

《L04 微信小程序从零到发布》

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

《G01 Go 实战入门》

从零开始带你一步步开发一个 Go 博客项目，让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。

推荐文章：

更多推荐...

花了四个月打磨的 Laravel Plus 开源 34 / 102 |

PHP 程序员转 Go 语言的经历分享 19 / 13 |

手摸手带你使用 docker-compose 编排一个开发环境 22 / 15 |

[求职] 重生之不再做PHP 12 / 83 |

冯老师的困惑 —— PHP 挂了 21 / 4 |

PHP使用yield 读取超大型目录、大目录的方法 16 / 15 |

讨论数量: 6

22

379 声望

可以

8年前评论

mingyun

27 声望

allow_url_fopen = off这个一般不会关闭吧，否则file_get_contents('php://input')没法用了

8年前评论

Nick

课程读者 266 声望

@mingyun 是的，fopen() 这类函数也无法使用，这些配置不是强制的，假如你的服务器是 Apache ，那么 cgi.fix_pathinfo = 0 也不需要设置的！

8年前评论

4uuu_Nya

课程读者 1 声望

allow_url_fopen倒不是很重要，但是allow_url_include如果非必须一定记得关闭

8年前评论

mingyun

27 声望

@sco4x0 具体说说

8年前评论

4uuu_Nya

课程读者 1 声望

开启了allow_url_include后，可以使用封装协议，最常用的两个php://input和php://filter

我用来测试的都在allow_url_fopen 为Off，allow_url_include为On的情况下进行的

file

测试的代码

<?php
echo include($_GET['f']);
?>

第一个案例 php://input 可使用的情况下会造成的任意代码执行

file

第二个案例php://filter 可使用的情况可能会造成的任意文件读取

file

base64编码的内容就是index.php的内容

8年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助