答案:通过调整php.ini配置可提升PHP应用安全性。依次禁用危险函数如exec、system;关闭错误显示并记录日志;限制文件上传大小与权限;设置open_basedir目录访问控制;强化session安全选项,包括启用HttpOnly与Secure标志、严格模式及合理设置生命周期,最后重启服务生效。
如果您在部署PHP应用时发现存在潜在的安全风险,可能是由于默认配置未针对安全性进行优化。通过调整php.ini中的关键参数,可以有效降低被攻击的可能性。
本文运行环境:Dell XPS 13,Ubuntu 24.04
一、禁用危险函数
某些PHP内置函数可能被恶意利用来执行系统命令或读取敏感文件,限制这些函数的使用能显著提升脚本层的安全性。
1、打开php.ini配置文件,搜索disable_functions指令。
立即学习“PHP免费学习笔记(深入)”;
2、在该指令后添加需禁用的函数,多个函数间以逗号分隔。
3、建议禁用的函数包括:exec,system,passthru,shell_exec,proc_open,popen,eval,assert,symlink,link,escapeshellarg,escapeshellcmd。
4、保存并重启Web服务使更改生效。
二、关闭错误信息显示
生产环境中若将错误详情暴露给客户端,可能泄露路径结构或代码逻辑,应仅记录而不显示错误内容。
1、查找display_errors配置项,并将其值设为Off。
2、确保log_errors设置为On,以便将错误写入日志文件。
3、检查error_log路径是否指向安全且可写的位置,例如/var/log/php_errors.log。
4、修改完成后保存文件并重新加载PHP服务。
三、限制文件上传功能
不加控制的文件上传可能引发远程代码执行漏洞,必须对上传行为进行严格约束。
1、将file_uploads设为On仅当确实需要上传功能时。
2、设置upload_max_filesize为合理值,如2M,防止大文件耗尽资源。
3、调整post_max_size略大于上传限制,避免POST数据截断。
4、启用allow_url_fopen和allow_url_include为Off,阻止远程文件包含。
四、启用Open_basedir限制
通过设定脚本可访问的目录范围,防止跨目录访问敏感系统文件。
1、定位到open_basedir配置项。
2、为其指定一个或多个允许访问的根目录,例如:/var/www/html:/tmp。
3、注意路径分隔符在Linux下为冒号,在Windows下为分号。
4、确认所有涉及文件操作的脚本均位于许可路径内,否则将触发权限拒绝。
五、配置Session安全选项
会话数据若处理不当可能导致会话劫持或固定攻击,需强化其传输与存储机制。
1、设置session.cookie_httponly=1,防止JavaScript访问Cookie。
2、开启session.cookie_secure=1,确保Cookie仅通过HTTPS传输。
3、调整session.use_strict_mode=1,拒绝未知会话ID的初始化请求。
4、定期清理过期会话文件,可通过配置session.gc_maxlifetime控制生命周期。
