Windows 2003 安全设置之PHP篇

熹

今天来说说windows 2003服务器上的PHP的安全问题。一般来说，Windows的服务器上不会只运行asp或者aspx程序，PHP的程序很多，所以一般都有在服务器上装PHP，既然有装，就要对PHP进行安全设置。 w4 ?1 y9 E2 r 1、把safe_mode=off 改成 safe_mode=on，使php运行于安全模式。运行于安全模式的PHP能禁止一些系统命令的执行，如果你要执行这些系统命令，可以在 "safe_mode_exec_dir =" 设置，如果你要D盘的wwwroot可以执行系统命令函数，那么就把这个设置为"safe_mode_exec_dir = D:\wwwroot" 。 - ?, w. ?, n9 z 2、找到disable_functions这行，改成"disable_functions = phpinfo,passthru,exec,shell_exec,system，这样设置就是不允许在PHP中执行这些函数。 % K# C+ V. x' }' |" h 3、把register_globals设置成off，就是关闭全局变量的注册。因为我们通过get或者post提交的变量都会自动注册成全局变量，用户可以访问，这就对服务器造成了不安全。 4、把magic_quotes_gpc设置成on，防止SQL注入。 5、把open_basedir前面的分号去掉，设置成你的网站的程序的地址。使PHP不能操作该目录之外的文件。 6、如果不想让PHP运行时候的出错信息在浏览器中显示，可以设置display_errors = Off。 如此设置之后，PHP的安全就不错了。

熹

你是说开启safe_mode吗？ 限制多了，速度自然慢 可以关闭的，影响不大~ 9 m# [( E4 w, O* }/ c& H 8 h, E9 i" C, c, G! E# N以下设置不影响速度的，可以考虑~ 8 K/ @" M2 s+ R) B; v 2 [$ G* [7 N5 O# H(6) 关闭危险函数 . f0 T6 e+ D- E7 P如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的phpinfo()等函数，那么我们就可以禁止它们： + d+ _& _1 @, n* x' Z6 adisable_functions = system,passthru,exec,shell_exec,popen,phpinfo 如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作 disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown , h0 e4 k T4 t以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，就能够抵制大部分的phpshell了。 / }/ w- p5 ?# q$ N" C + ]' \( R" W+ S" N' h8 g5 n9 J(7) 关闭PHP版本信息在http头中的泄漏 : y/ A1 T0 E* C7 W2 I我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中： expose_php = Off 比如黑客在 telnet www.aosea.com 80 的时候，那么将无法看到PHP的信息。 (8) 关闭注册全局变量 1 \ I6 x6 M1 ?. U在PHP中提交的变量，包括使用POST或者GET提交的变量，都将自动注册为全局变量，能够直接访问，这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭： register_globals = Off . ]" w1 o! V# S& f+ N( t4 ]5 ?4 P' J" `当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET提交的变量var，那么就要用$_GET['var']来进行获取，这个php程序员要注意。 ; |; L1 |- o# R5 p" Y' e5 h4 ]; i; T (9) 打开magic_quotes_gpc来防止SQL注入 0 u8 ?5 v/ \# x6 fSQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，所以一定要小心。php.ini中有一个设置： ; y X. o6 {! |! q2 @' [/ ~5 Ymagic_quotes_gpc = Off 这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，比如把 ' 转为 '等，这对防止sql注射有重大作用。所以我们推荐设置为： magic_quotes_gpc = On " @$ a, F* u. E6 k4 Q (10) 错误信息控制 2 j! {# O& u m- z% B3 W一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php脚本当前的路径信息或者查询的SQL语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示： 6 M5 B/ ^9 k: \$ g5 zdisplay_errors = Off 如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息： ; T( P1 P# ^1 C6 G- K0 z( C8 ferror_reporting = E_WARNING & E_ERROR ; H& h+ U% K9 q& O当然，我还是建议关闭错误提示。 (11) 错误日志 5 D1 I0 [# T' \* g建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因： : C% Q: R7 S0 K! J' |& ?5 f$ Wlog_errors = On 同时也要设置错误日志存放的目录，建议根apache的日志存在一起： error_log = /usr/local/apache2/logs/php_error.log ) w1 `" x, q1 G% B* V* j; _" x2 f% a注意：给文件必须允许apache用户的和组具有写的权限。