本文共 1660 字，大约阅读时间需要 5 分钟。

PHP安全配置指南

前言

PHP安全是开发者和Linux管理员需要特别关注的问题。尽管PHP自身提供了从内到外的安全机制，但为了确保Web应用程序的安全性，管理员需要正确配置和维护相关设置。本文将逐步介绍PHP安全的关键配置和实践方法。

1. 关闭PHP版本泄露

为了防止Web服务器泄露PHP版本信息，可以在php.ini中设置expose_php为Off。此设置将隐藏PHP版本号，从而减少被自动攻击脚本目标。

expose_php = Off

如果需要隐藏.php文件扩展名，可以在httpd.conf中进行配置：

AddType application/x-httpd .php

同样，若需要解析.html和.htm文件，可以设置：

AddType application/x-httpd .html .htm

请注意，静态页面使用自定义扩展名可以提高性能。

2. 删除不必要的扩展模块

PHP安装了大量可选扩展模块，但其中一些甚至可能带来安全隐患。建议使用php -m命令获取当前扩展列表，并在php.ini中注释掉不必要的模块。

# phantom Javascript Module;extension= PhantomJS# identifier Com compatibility Module;extension=Crawler

3. 禁用远程文件包含

远程文件包含漏洞可以allow_url_include参数控制。建议将其设置为Off，从而禁用对远程文件的支持：

allow_url_fopen = Offallow_url_include = Off

4. 禁止错误日志显示

错误信息可能揭露服务器内部细节， Greatest suggestion 是将显示错误设置为Off，同时通过log_errors记录错误日志：

display_errors = Offlog_errors = Onerror_log = /var/log/httpd/php_scripts_error.log

5. 理解资源限制

加强资源控制可以有效防止潜在的安全攻击。建议设置：

max_execution_time = 25max_input_time = 25memory_limit = 30M

这些参数可以限制脚本的执行时间和内存使用，确保服务器不会因攻击而崩溃。

6. 禁用危险函数

PHP提供了许多实用函数，但也隐藏着潜在风险。可在php.ini中禁用以下危险函数：

disable_functions = exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,phpinfo,escapeshellcmd,escapeshellarg

7. 禁用文件上传功能

如果应用程序不需要上传文件，可以通过设置file_uploads = Off来提高安全性。

file_uploads = Off

8. 保持PHP和相关软件的更新

定期更新PHP和其他依赖软件是保障安全的关键。开源项目通常会发布补丁，及时安装更新可以修复已知漏洞。

9. 控制文件系统访问

默认情况下，PHP允许广泛访问文件系统。建议通过open_basedir限制访问范围，确保仅允许访问指定目录和其子目录：

open_basedir = /var/www/html/

10. 控制POST数据大小

防止黑客通过过大POST数据耗尽服务器资源，可以设置post_max_size：

post_max_size = 1k

11. 启用PHP安全模式

安全模式可以限制危险操作，提高安全性。建议启用safe_mode：

safe_mode = On

此时，所有文件操作将受到严格检查，仅允许文件所有者执行。

安全配置需要兼顾性能和安全性。通过以上措施，可以有效防范常见攻击，保障服务器稳定运行。