常见ini配置

2018-08-26  本文已影响0人  shadowflow

1. php的配置文件

php的配置文件一般是php.ini文件。
php.ini文件必须命名为'php.ini'并放置在httpd.conf中的PHPIniDir指令指定的目录中,使用phpinfo()函数可以查看。
一般情况下需要对其进行配置,使环境更加安全。

1.1 php.ini(php版本号.ini,全局配置文件)

php.ini 文件必须命名为'php.ini'并放置在httpd.conf中的PHPIniDir指令指定的目录中,使用phpinfo()函数可以查看。
在PHP启动时读取。对于服务器模块版本的PHP,仅在web服务器启动时读取一次,对于CGI和CLI版本,每次调用都会读取。
注:

1.2 .user.ini文件(用户级别的配置文件)

自PHP 5.3.0起,PHP支持基于每个目录的.htaccess风格的INI文件。此类文件仅被CGI/FastCGI SAPI处理。此功能使得PECL的htscanner跨站作废。如果使用Apache,则用.htaccess文件有同样的效果
用户级别的配置文件。如果使用Apache,则用.htaccess文件有同样效果

2. php的配置-语法

指令格式:directive=value (指令名directive是大小写敏感的)

3. 常见重要配置-变量相关

php配置语法
指令名(directive)是大小写敏感的,所以”foo=bar"不同与“FOO=bar"。
值value可以是:

INI中的表达式仅使用:
位运算符、逻辑非、圆括号、I位或、&位与、~位非、!逻辑非,
布尔标志用On表示打开,用Off表示关闭。

foo = ; 将foo设置为空字符串
foo = none; 将foo设置为空字符串
foo = "none"; 将foo设为字符串"none"

配置文件(php.ini)在PHP启动时被读取,对于服务器模块的PHP,仅在web服务器启动时读取一次。

还可以在httpd.conf中覆盖php.ini的值,以进行更灵活的配置。当PHP作为Apache模块时,也可以用Apache的配置文件(例如httpd.conf)和.htaccess文件中的指令来修改PHP的配置设定。需要有"AllowOverride Options"或"AllowOverride All"权限才可以。

3.1 启用全局变量
register_globals = off
注:新版本已经移除了
有些程序例如OSC需要启用全局变量,这个设置的作用是关闭自动注册的全局变量,在设置On的时候,php会将$_POST, $_GET, $_COOKIE, $_SESSION数组中的$key=$value直接注册为变量,比如$_POST['username']就会被注册为$username。虽然方便了调用,但是会有三个问题:

3.2 短标签
short_open_tag = on
这个设置决定是否允许PHP代码开始标志的缩写形式(<? ?>)。如果禁用了,必须使用PHP代码开始标志的完整形式(<?php ?>)
如果开启段标签:
<?= --------------- <? echo 等价
拿shell中有用,通过短标签绕过。

4. 常见重要配置-安全模式

4.1 安全模式

sefe_mode = off
能够控制php中的一些函数,比如system()。同时把很多文件操作函数进行了权限控制,也不允许读取某些关键文件,比如/etc/passwd,但是默认的php.ini是没有打开安全模式的。
PHP5.3.0起废弃并将自PHP5.4.0起移除

4.2 安全模式下执行程序主目录

safe_mode_exec_dir = /var/www/html
如果PHP使用了安全模式,system()和其它程序执行函数将拒绝启动不在此目录中的程序。必须使用/作为目录分割符,包括Windows中,简单来说,就是这个目录下可以执行。

4.3 禁用类/函数(*)

disable_classes = , disable_functions =

5. 常见重要配置-上传文件以及上传权限

5.1 设置上传及最大上传文件大小

file_uploads = on
file_max_filesize = 8M

5.2 文件上传临时目录

upload_tmp_dir =
如果不设置,则采用系统临时目录(/tmp,C:\Windows\Temp)

5.3 用户访问目录限制

open_basedir = .:/tmp/
open_basedir = .;c:\windows\temp
使用open_basedir选项能够控制PHP脚本只能访问指定的目录,这样能够避免PHP脚本访问不应该访问的文件,一定程度上限制了phpshell的危害,我们一般可以设置为只能访问网站目录,表示允许访问当前目录(即PHP脚本文件所在目录)和/tmp/目录,有效防止php木马跨站运行。

6. 常见重要配置-错误信息

6.1 错误信息控制

display_error = On
是否将错误信息作为输出的一部分,站点发布后应该关闭这项功能,以免暴露信息。调试的时候当然是要On的,不然就什么错误信息也看不到了。

6.2 设置错误信息报告级别

error_reporting = E_ALL
这个设置的作用是将错误级别设置为最高,可以显示所有的问题,方便查错,也有利于写出高质量的代码,报告级别是一些常量,在php.ini中有写,推荐使用E_ALL | E_STRICT ,即所有级别。

6.3 错误日志

error_log=
错误日志的位置,必须对web用户可写入,如果不定义则默认写到web服务器的错误日志中去。
log_errors = on
log_errors_max_length = 1024

7. 常见重要配置-魔术引导及远程文件

7.1 魔术引导(php5.3.0废弃php5.4.0起移除)

magic_quotes_gpc = On
magic_quotes_runtime = Off
为GPC(Get/Post/Cookie)操作设置magic_quotes状态。当magic_quotes为on,所有的'(单引号)、"(双引号)、(反斜杠)和NULL被一个反斜杠自动转义。影响效率。

7.2 是否允许打开远程文件

alllow_url_fopen = on
本选项激活了URL形式的fopen封装协议使得可以访问URL对象例如文件。默认的封装协议提供ftp和http协议来访问远程文件,一些扩展库例如zlib可能会注册更多的封装协议。

echo file_get_contents("http://php.net");

7.3是否允许包含远程文件

allow_url_include = off
本选项激活允许include, include_once, require, require_once等函数使用URL形式的fopen封装协议。简单来说就是可以包含远程文件。

include("http://php.net")

上一篇下一篇

猜你喜欢

热点阅读