上线前必须禁用php危险函数,通过php --ini定位正确php.ini文件,设置disable_functions并关闭allow_url_fopen与allow_url_include,重启服务后实测验证。
PHP 安装后默认开启一堆危险函数(比如 exec、system、shell_exec、passthru、proc_open、popen),不手动禁用,等于给攻击者留了后门。这不是“建议做”,而是上线前必须做的基础安全动作。
怎么找到并修改 php.ini 文件
很多新手卡在第一步:根本不知道自己用的是哪个 php.ini。别猜路径,直接用 PHP 自己说:
php --ini
输出类似:
Configuration File (php.ini) Path: /etc/php/8.2/cli Loaded Configuration File: /etc/php/8.2/apache2/php.ini
注意区分 CLI 和 Web SAPI(如 Apache/FPM)——Web 服务用的是 Loaded Configuration File 对应的文件。改错位置(比如只改了 CLI 的)等于白干。
立即学习“PHP免费学习笔记(深入)”;
- Apache 环境:通常在
/etc/php/{version}/apache2/php.ini - PHP-FPM:通常是
/etc/php/{version}/fpm/php.ini,改完记得sudo systemctl reload php{version}-fpm - Windows:看
phpinfo()页面里的 “Loaded Configuration File”
禁用危险函数的核心配置项:disable_functions
这个指令不是“开关”,而是白名单式阻断——它只禁用列出的函数,且**不递归影响函数别名**(比如禁了 exec,但 system 还能用)。所以必须列全:
disable_functions = exec,passthru,shell_exec,system,proc_open,popen,pcntl_exec,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_alarm,pcntl_getpriority,pcntl_setpriority
说明:
-
pcntl_*系列必须加,尤其在 FPM 下,它们常被用于绕过普通禁用(比如通过pcntl_exec启动新进程) - 不要用空格分隔,只用英文逗号;末尾不要逗号,否则整行失效
- 该配置对所有 SAPI 生效,但部分函数(如
dl())已从 PHP 8.0+ 彻底移除,无需再禁 - 禁用后调用会返回
NULL并抛出E_WARNING,日志里能看到 “Function XXX is disabled”
为什么光禁函数还不够?还得关掉 allow_url_fopen 和 allow_url_include
这两个配置和函数禁用是两套防线:
-
allow_url_fopen = Off:禁止fopen("http://...")、file_get_contents("https://...")等远程文件读取 -
allow_url_include = Off:彻底堵死include("http://...")、require_once("php://input")这类远程代码执行入口
很多 WebShell(比如菜刀)依赖这两项加载远程 payload。即使你禁了 eval,如果开了 allow_url_include,攻击者仍可:include("data://text/plain,<?php system('id');?>"); —— 这种 data:// 协议绕过非常常见。
顺手也检查下:display_errors = Off(避免泄露路径/变量)、expose_php = Off(隐藏 PHP 版本头)。
验证是否生效:别信配置,要实测
改完 php.ini,必须重启对应服务(Apache/FPM),然后写个测试脚本跑一下:
<?php
var_dump(function_exists('exec'));
var_dump(function_exists('shell_exec'));
var_dump(ini_get('allow_url_fopen'));
var_dump(ini_get('allow_url_include'));
?>
正确结果应该是:
-
exec、shell_exec返回false -
allow_url_fopen和allow_url_include都返回""(空字符串)或"0"
更狠的验证:直接调用 exec('id'),看是否报 Warning: exec() has been disabled for security reasons。没报?说明配置没生效或改错了文件。
真正容易忽略的点:FPM + Nginx 组合下,可能有多个 php.ini(全局 + pool 级别),而 pool 配置里的 php_admin_value[disable_functions] 会覆盖全局设置——得去 /etc/php/*/fpm/pool.d/www.conf 里检查有没有重复或冲突定义。
