禁用危险函数必须写全,漏一个就可能被绕过
PHP 8.5 并未新增高危函数,但攻击者仍在利用那些长期存在、却被忽略的“边缘函数”——比如 symlink、link、chown、chgrp。只禁掉 exec 和 system 是远远不够的。
-
disable_functions必须覆盖执行类、文件操作类、进程控制类三类:exec,passthru,shell_exec,system,proc_open,popen,eval,assert,symlink,link,chmod,chown,chgrp,curl_exec - 修改后一定要检查是否生效:
php -i | grep disable_functions,别只信重启了服务 - 注意顺序:如果用了 Suhosin 或其他安全扩展,它可能覆盖 php.ini 的设置,得查
phpinfo()输出的实际值 -
curl_exec容易被漏掉——它能发起内网请求,配合 SSRF 可打穿内网,生产环境建议一并禁用
open_basedir 不是可选项,而是隔离底线
没有 open_basedir,哪怕禁了所有危险函数,攻击者仍可通过 file_get_contents('/etc/passwd') 或包含日志文件等方式读取敏感系统信息。这不是防御深度问题,是基础隔离缺失。
- 必须在 PHP-FPM 的 pool 配置里设(如
/etc/php/8.5/fpm/pool.d/www.conf),而不是只在 php.ini 里设——后者对 FPM 无效 - 值要精确,不能写成
/var/www这种宽泛路径;推荐格式:open_basedir = /var/www/example.com/:/tmp/:/proc/self/fd/(/proc/self/fd/是为部分日志读取留的白名单) - 注意末尾的冒号和斜杠:
/tmp/和/tmp效果不同,前者明确限定子目录,后者可能被绕过 - 一旦启用,所有文件操作(包括
include、require、fopen)都会被拦截,务必提前测试 Composer 自动加载、日志写入、临时文件生成等路径
PHP 8.5 的错误处理增强反而暴露新风险
PHP 8.5 默认在异常堆栈中显示脱敏后的参数值,听起来很友好,但如果你没关掉 display_errors,这些参数就会直接吐到前端页面上——等于把用户手机号、token 前几位明文展示给所有人。
- 必须确认两项配置同时生效:
display_errors = Off和log_errors = On,缺一不可 - 错误日志路径权限常被忽视:
/var/log/php/error.log所属用户必须是www-data(或你 PHP-FPM 实际运行用户),且权限不能是 644,否则可能被 Web 进程以外的用户读取 - PHP 8.5 新增的
JsonDecodeError等异常类型,如果被未捕获的 try/catch 漏掉,仍会触发致命错误——别依赖“类型更细”就放松全局异常处理器 - 自定义错误页(如 500.html)必须静态化,禁止任何 PHP 解析逻辑,否则可能成为新的注入入口
上传目录防执行不是 Nginx 配置一次就完事
只在 Nginx 里加一条 location ~* /uploads/.*\.php$ { deny all; },看似稳妥,但攻击者会用 .php.jpg、.php%00.jpg、.pHp 等大小写/编码/双扩展名方式绕过。
立即学习“PHP免费学习笔记(深入)”;
- Nginx 规则要加
^~前缀强制前缀匹配,避免正则优先级干扰:location ^~ /uploads/ { ... } - 必须配合 PHP 层限制:在上传成功后,用
exif_imagetype()或getimagesize()校验真实 MIME 类型,不能只看后缀 - 上传目录的文件系统权限应设为
644(不可执行),且所属组不能是www-data——最好新建专用用户如uploaduser,让 Web 进程只有写权限,无执行权限 - 更彻底的做法:上传后立即重命名 + 移出 Web 根目录(如存到
/data/uploads/),再通过 PHP 脚本做代理下载,彻底切断直接访问路径
实际部署时最容易被跳过的,是 open_basedir 的路径校验和上传目录的双重校验(Nginx + PHP 层)。这两处一松,前面所有函数禁用都形同虚设。
