一、屏蔽PHP错误信息
在配置文件中,设置display_errors=On
,开启了PHP错误显示,在PHP程序遇到错误时,会暴露PHP文件和系统路径,从而容易被威胁,我们需要设置:
;默认开启
;Default Value: On
;研发环境开启
;Development Value: On
;生产环境开启
;Production Value: Off
;生产环境下,设定为Off
display_errors = Off
;指定日志写入路径
error_log=/var/log/php/error_log.log
二、防止版本号暴露
在HTTP请求返回的Response头部数据,HTTP头李返回服务器状态的信息,包含了PHP版本信息,黑客很容易根据版本漏洞,进而进行攻击
在配置文件中找到 expose_php
,将值设置为 Off
expose_php=Off
三、防止全局变量覆盖
在全局变量功能开启的情况下,传递过来的数据会被直接注册为全局变量使用,需要关闭全局变量覆盖,在PHP5.6之后的版本,官方已经将该配置去除:
代码语言:javascript复制register_blobals=Off
四、PHP的访问限制
1.文件系统限制
配置 open_basedir
来限制PHP访问文件系统的位置:
;限定PHP的访问目录为 /home/web/php/
open_basedir=/home/web/php/
2.远程访问限制
allow_url_fopen 开启时,允许系统从远程检索数据,然而这个方法会给程序造成一个很大的漏洞,如果远程连接是一个恶意链接,那后果不堪设想
代码语言:javascript复制;禁用PHP远程URL访问
allow_url_fopen=Off
;禁用远程 include 包含文件
allow_url_include=Off
3.开启完全模式
PHP的安全模式是为视图解决共享服务器(shared-server)的安全问题而设立的,开启之后,会对系统操作、文件、权限设置等方法产生影响,减少被黑客植入webshell所带来的安全问题,从而在一定程度上避免一些未知的攻击
代码语言:javascript复制;开启安全模式
safe_mode=On
safe_mode_gid=Off
代码语言:javascript复制设置后,所有命令执行函数都被限制只能执行safe_mode_exec_dir指定目录里的程序,例如shell_exec()、exec()等方法会被禁止,如果需要调用,需进行如下配置:
safe_mode_exec_dir=/usr/local/php/exec
4.禁用危险函数
PHP中有很多危险的内置函数,如果使用不当,可能造成系统崩溃,配置文件中,disable_functions
选项能够在PHP中禁用指定的函数
disable_functions=phpinfo,eval,passthru,exec,system,chroot,scandir……
参考:《PHP建议禁用的危险函数》
五、PHP中的Cookie安全
1.Cookie 的 HttpOnly
HttpOnly 可以让 Cookie 在浏览器中不可见,开启 HttpOnly 可以防止脚本通过 document 对象获取 Cookie
代码语言:javascript复制;开启 HttpOnly
session.cookie_httponly=1
2.Cookie 的 Secure
如果web传输协议使用的是HTTPS,则应开启 cookie_secure
,当Secure属性设置为true时,Cookie只有在HTTPS下才能上传到服务器,防止Cookie被窃取
session.cookie_secure=1
六、尽量减少非必要模块加载
加载尽量少的模块在优化PHP性能的同时,也增加了安全性,使用 php -m
命令可以查看当前 PHP 所加载的模块