PHP 安全设置

分享 / 2 / 6 / 创建于 8年前

open_basedir = website_root_path ，将 PHP 所能打开的文件限制在指定的目录，php文档
allow_url_fopen = off 禁用引入远程文件 php文档
disable_functions = fun1,fun2 禁用危险系统函数 php文档
expose_php = Off 隐藏 php 版本号 php文档
cgi.fix_pathinfo = 0 防止上传恶意脚本，详情请查看鸟哥博客地址
display_errors = Off 隐藏错误信息
log_errors = On 开启错误日志

课程读者 266 声望

暂无个人描述~

《L03 构架 API 服务器》

你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程，JWT 概念及使用和 API 开发相关的进阶知识。

《L02 从零构建论坛系统》

以构建论坛项目 LaraBBS 为线索，展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。

讨论数量: 6

22

379 声望

可以

8年前评论

mingyun

27 声望

allow_url_fopen = off这个一般不会关闭吧，否则file_get_contents('php://input')没法用了

8年前评论

Nick

课程读者 266 声望

@mingyun 是的，fopen() 这类函数也无法使用，这些配置不是强制的，假如你的服务器是 Apache ，那么 cgi.fix_pathinfo = 0 也不需要设置的！

8年前评论

4uuu_Nya

课程读者 1 声望

allow_url_fopen倒不是很重要，但是allow_url_include如果非必须一定记得关闭

8年前评论

mingyun

27 声望

@sco4x0 具体说说

8年前评论

4uuu_Nya

课程读者 1 声望

开启了allow_url_include后，可以使用封装协议，最常用的两个php://input和php://filter

我用来测试的都在allow_url_fopen 为Off，allow_url_include为On的情况下进行的

file

测试的代码

<?php
echo include($_GET['f']);
?>

第一个案例 php://input 可使用的情况下会造成的任意代码执行

file

第二个案例php://filter 可使用的情况可能会造成的任意文件读取

file

base64编码的内容就是index.php的内容

8年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助