PHP系统的安全配置初级

PHP有不少的配置参数，能够直接访问系统和操做目录的。
好比system命令（该命令可让php直接访问Linux系统，作一些登陆后的操做）在默认的php-fpm程序里，是默认关掉了的。
1.php-fpm的php.ini查看（默认的php目录）
切换到/usr/local/php/etc  目录下面，能够看到php的基本配置在该目录下
若是没有找到  能够用命令查找语句
find /usr/local/php  -name php.ini
会将对应的位置列出来
2.关闭掉正在运行的php-fpm（主要做用是重启php-fpm,解决一些崩溃BUG）
 killall  php-fpm(关闭掉全部叫php-fpm的运行进程)
 若是要从新开始运行
 /usr/local/php/sbin/php-fpm(超级管理员命令)
 3.为了防止对面查看php版本
 expose_php=on （开启这个后，攻击者将没法查看php的版本信息）
 3.开启后  能够直接调用system(和system相似的包括exec命令，一个输出命令运行的结果，一个不输出运行的结果)
 system("pwd");  
 直接调用了Linux的pwd命令。
 该命令默认状况是被禁止掉了的，在php.ini的
 disable_functions = 后面能够填写一大串的禁止使用函数，（多个禁用函数的时候，须要用逗号分割）好比
 禁止掉phpinfo() 函数，这样系统就没法查看phpinfo()的信息了。
 若是要用系统的命令，须要开放system命令（该命令不安全，可是在恰当的场合使用却能大幅度提高效率）
4.开启了一些不安全的指令，须要用一些配置来限制其访问目录权限
open_basedir= .:/home/www/
open_basedir 限定当前用户的访问目录 .表明当前目录 /home/www表明容许访问的全部目录  超过限定目录后，会直接报错
5.在正式的运行环境上，须要对php.ini的一些东西进行新配置（生效的做用范围仅仅是当前php脚本）
关闭错误显示  
error_reporting(E_ALL);
ini_set( 'display_errors', 'On' );

error_reporting(0);
ini_set( 'display_errors', 'Off' );
6.当开启了safe_mode的时候 ini_set 也是没有用的
      ini_set('post_max_size','10M');
      ini_set('upload_max_filesize','8M');//文件上传最大  
须要在.htaccess进行配置（要求设置是 AllowOverride All）
php_value upload_max_filesize 8M   
php_value post_max_size 10M
PS：在大型项目部署中，全部环境都是统一的，通常都是开启安全模式，这个时候是不容许单独改变php的某个配置参数（PHP的配置是运维部肯定了配置，不容许程序员擅自改动运行环境，只能经过本身内部完成）要完成该功能就须要.htaccess 进行配置