介绍为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中。
该参数默认配置如下:
expose_php =,
,是否暴露php被安装在服务器上的事实(在http头重加上其签名)
,它不会有安全上的直接威胁,但它使得客户端知道服务器上安装了php。
建议设置为
expose_php ,=, 在php中提交的变量,包括使用post或get提交的变量,都将自动注册为全局变量,能够直接访问,这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭:
默认配置:
register_globals =,
;是否将E、G、P C S变量注册为全局变量
,打开该指令可能会导致严重的安全问题,除非你的脚本经过非常仔细的检查。
,推荐使用预定义的超全局变量:_ENV美元$ _GET, $ _POST _SERVER _COOKIE美元
,该指令受variables_order指令的影响。
;php6中已经删除此指令。
建议设置为:
register_globals ,=, magic_quotes_pgc =,
这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,比如把& # 39;转义为\ & # 39;等,这对防止sql注入有重大作用,所以我们推荐设置为:
magic_quotes_pgc =, 一般php在没有连接到数据库或者其他情况下会有提示错误,一般错误信息中会包含php脚本当前的路径信息或者查询的SQL语句等信息,这类信息提供给黑客后,是不安全的,所以一般服务器建议禁止错误提示。
该参数默认配置如下:
display_errors =,
,是否将错误信息作为输出的一部分显示给终端用户。应用调试时,可以打开,方便查看错误。
web站;在最终发布的点上,强烈建议你关掉这个特性,并使用错误日志代替(参看下面)。
;在最终发布的web站点打开这个特性可能暴露一些安全信息,
,例如你的web服务器上文件路径,数据库规划或别的信息。
设置为:
display_errors =,
(php5.3.27默认即为display_errors =,)
如果你确实是要显示错误信息,一定要设置显示错误的级别,比如只显示警告以上的信息:
error_reporting =, E_WARING 和错误
当然,最好是关闭错误提示。
这篇文章主要介绍PHP引擎PHP . ini中参数优化的示例分析,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!
PHP引擎PHP . ini中参数优化
无论是apache还是nginx, PHP . ini中都是适合的。而php-fpm。参看适合nginx + fcgi的配置
首先选择产品环境的php . ini中(php.ini-production)
/home/卑劣的php/工具/php-5.3.27/ni-development
/home/卑劣/工具/php-5.3.27/php。ini-production
如果打开了安全模式,那么函数禁止是可以不需要的,但是我们为了安全还是考虑进去。比如,我们觉得不希望执行包括系统()等在那的能够执行命令的php函数,或者能够查看php信息的phpinfo()等函数,那么我们就可以禁止它们,方法如下: 时间=disable_functions 系统、passthru exec, shell_exec, popen phpinfo disable_functions =,作用,chroot, dir, getcwd, opendir, readdir, scandir, fopen,拆开,删除,复制、创建目录、删除目录,重命名,文件,函数,fputs,写入文件,chgrp, chmod,乔恩
<强> 4。关闭php版本信息在http头中的泄漏
<强> 5。关闭注册全局变量
<强> 6。打开magic_quotes_gpc来防止SQl注入
<强> 7。错误信息控制
