Windows 2003 安全设置之PHP篇

熹

今天来说说windows 2003服务器上的PHP的安全问题。一般来说，Windows的服务器上不会只运行asp或者aspx程序，PHP的程序很多，所以一般都有在服务器上装PHP，既然有装，就要对PHP进行安全设置。 1、把safe_mode=off 改成 safe_mode=on，使php运行于安全模式。运行于安全模式的PHP能禁止一些系统命令的执行，如果你要执行这些系统命令，可以在 "safe_mode_exec_dir =" 设置，如果你要D盘的wwwroot可以执行系统命令函数，那么就把这个设置为"safe_mode_exec_dir = D:\wwwroot" 。 9 ]$ O! O" k u- b( A 2、找到disable_functions这行，改成"disable_functions = phpinfo,passthru,exec,shell_exec,system，这样设置就是不允许在PHP中执行这些函数。 9 T+ D& b7 ^4 O' k4 t0 K5 d# g' x 3、把register_globals设置成off，就是关闭全局变量的注册。因为我们通过get或者post提交的变量都会自动注册成全局变量，用户可以访问，这就对服务器造成了不安全。 f- x: O8 N- [+ ^# }9 [3 C 4、把magic_quotes_gpc设置成on，防止SQL注入。 2 `6 q) K- P4 M" Y* f, W2 G 5、把open_basedir前面的分号去掉，设置成你的网站的程序的地址。使PHP不能操作该目录之外的文件。 6、如果不想让PHP运行时候的出错信息在浏览器中显示，可以设置display_errors = Off。 如此设置之后，PHP的安全就不错了。

熹

你是说开启safe_mode吗？ 限制多了，速度自然慢 可以关闭的，影响不大~ * x+ H% N2 Y- b9 R! o: g4 G T以下设置不影响速度的，可以考虑~ * C( D" D& v. B7 ? - l0 ?, H! U. j( Y2 e(6) 关闭危险函数 5 Z) N7 f% r" h3 k* m- Z+ j5 V1 i; D如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的phpinfo()等函数，那么我们就可以禁止它们： disable_functions = system,passthru,exec,shell_exec,popen,phpinfo 如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作 0 D7 T' l% _5 a; g1 Mdisable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown 以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，就能够抵制大部分的phpshell了。 (7) 关闭PHP版本信息在http头中的泄漏 我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中： . R7 F& P" W' k( ^: `& ?0 b, M nexpose_php = Off 7 n( K6 w" j2 J' Z6 a* u比如黑客在 telnet www.aosea.com 80 的时候，那么将无法看到PHP的信息。 4 S" n; E0 W" E* h7 Y+ ^ (8) 关闭注册全局变量 在PHP中提交的变量，包括使用POST或者GET提交的变量，都将自动注册为全局变量，能够直接访问，这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭： register_globals = Off 当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET提交的变量var，那么就要用$_GET['var']来进行获取，这个php程序员要注意。 ! ^ L/ z# q) h/ P (9) 打开magic_quotes_gpc来防止SQL注入 SQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，所以一定要小心。php.ini中有一个设置： magic_quotes_gpc = Off ' a$ ]* X+ g: Z. T+ @这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，比如把 ' 转为 '等，这对防止sql注射有重大作用。所以我们推荐设置为： # ?5 ^0 C7 w$ i2 R0 cmagic_quotes_gpc = On 5 t2 S0 P$ o8 _: P- A- g - H$ C+ t9 }: ~1 X(10) 错误信息控制 一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php脚本当前的路径信息或者查询的SQL语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示： 1 J. {9 |2 S9 X! Z8 |) L! Rdisplay_errors = Off 如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息： error_reporting = E_WARNING & E_ERROR 当然，我还是建议关闭错误提示。 ( q/ m; v7 [8 Z( O (11) 错误日志 ; u& U) A0 u8 ?, P建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因： log_errors = On 7 z6 T/ m% x4 x! |2 F' z& C; R同时也要设置错误日志存放的目录，建议根apache的日志存在一起： error_log = /usr/local/apache2/logs/php_error.log 注意：给文件必须允许apache用户的和组具有写的权限。