PHP配置优化

6个月前发布 SanS三石
32 0 0

在之前的文章中我们介绍了开启【opcache】优化PHP,今天我们再介绍几个PHP相关配置优化。

1、打开php的安全模式

主要控制php执行危险函数,默认是关闭:Off

sql.safe_mode=On

2、禁止显示PHP版本号

出于网站安全考虑,防止别人针对特定php版本漏洞攻击网站。有的网站你用站长工具一查,使用的是什么web服务器、PHP版本是多少都一目了然,对于特定的PHP版本漏洞,黑客当然是知道的,隐藏版本号虽不能说解决了问题,但是会给黑客增加难度。

expose_php = Off

3、关闭重定向执行php文件

出于安全考虑防止别人上传木马执行如:你的网站url/as=你的网站url/sdf/muma.php,这样的重定向PHP文件是可执行的,将这个配置改为0之后这类型的重定向PHP文件就不会执行了。

这也是为什么有的网站总是被挂马的原因,这样修改之后即便是网站前台存在安全漏洞,被黑客上传了木马文件,通过这样的方式木马文件不会运行,所以没有用。

cgi.force_redirect = 0

4、禁止解析非法php文件

/a.jpg/1.php这样的图片下的一个php文件属于非法的,设置为0就是禁止执行。这种将木马伪装成图片上传的文件存在已久,禁止这类文件运行,即使被上传了木马,由于设置了不允许运行,所以没有用。

cgi.fix_pathinfo = 0

5、关闭错误信息输出

为了网络安全,关闭错误信息输出,防止他人恶意攻击。

display_error = Off
error_reporting = E_WARNING & E_ERROR

在现实工作我们都会在入口文件中通过【ini_set(display_errors, on);】开启错误信息进行调试

6、记录错误日志至后台, 方便追溯

如果你的项目框架本身就已经做好日志记录的功能,那么你可以关闭PHP日志记录。

log_errors = On
error_log = /var/log/php_error.log

7、禁止远程执行phpshell

include/require等包含函数可以加载远程文件,如果远程文件没经过严格的过滤,导致了执行恶意文件的代码,这就是远程文件包含漏洞。

allow_url_include = Off

当然我们日常工作中经常会使用file_get_content函数获取资源,但是有些黑客会利用这点执行远程文件,从而获取服务器信息,我们可以在配置文件中禁止从远程服务器或者网站检索数据

allow_url_fopen = Off

8、格式化时间

注意大小写,默认使用北京时间(东8区),这样可以使服务器时间和程序的时间一致,否则可能你发文章显示的时时间会和实际时间不一样,如果不设置时间可能会相差8小时,也可以设置为date.timezone = PRC ,设置时区为中国时区,PRC是中国时区的简称。

date.timezone=Asia/Shanghai

9、启用标记解析

一些网站的模板文件中使用了如<? ?>这样的php代码,可保证代码可以正常执行,在ecshop、dedecms和WordPress等模板中也都常见于这类代码。

short_open_tag = On

常用的就这些了,后期想起其他的配置信息再给大家补上。

有遗漏或者不对的可以在我的公众号留言哦

PHP配置优化

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...