您好,登錄后才能下訂單哦!
php.ini配置中有3處設置可能導致網站安全出問題。那么是哪三處呢?跟著小編一起往下看吧。一定會對你們有所幫助的。
首先大家都知道所有的PHP源碼網站都必須配置環境,不論是使用集成環境還是自己手動搭建,可能很少有人關注過php.ini
里面配置的這些東西到底有什么作用,很多站長在設置php.ini文件時,都是網上找一個教程,然后人家說哪里增加哪里刪除按步驟進行,但是這里面的設置還真有兩處會引起網站安全問題。
有人會說就一個php.ini
文件怎么可能會有安全問題呢,難不成hiker會攻擊的我php.ini
文件不成?
這倒不是啦,而是運行方式會給hiker提供一個窗口,請看下面的配置步驟說明。
以windows
系統上安裝PHP
為例,所有版本的php.ini
文件的設置幾乎都是一樣的,先去官方網站下載需要的PHP版本,然后解壓縮并重命名。
假設安裝php7.4
,安裝在服務器" target="_blank" href="http://undefined">服務器的D盤根目錄:下載Non-Thread Safe (NTS) 版本的PHP程序,然后解壓縮,并重命名為“php”文件夾,將其拷貝到D盤根目錄下面。
打開D:\php
下的php.ini-development
文件,復制一份并將其重命名為php.ini
,打開D:\php\php.ini
文件,下面是完整的配置過程。
1、將short_open_tag = Off
改為
short_open_tag = On
這樣修改的作用是一些網站的模板文件中使用了如<? ?>這樣的php代碼,可保證代碼可以正常執行,在ecshop、dedecms和WordPress等模板中也都常見于這類代碼。
2、將expose_php = On
,將其改為
expose_php = Off
作用是出于網站安全,禁止顯示php的版本號,防止別人針對特定php版本漏洞攻擊網站。有的網站你用站長工具一查,使用的是什么web服務器、PHP版本是多少都一目了然,對于特定的PHP版本漏洞,hiker當然是知道的,隱藏版本號雖不能說解決了問題,但是會給hiker增加難度。
3、查找如下代碼
; On windows: ; extension_dir = "ext"
將這里的extension_dir前面的分號去掉,并且把ext修改為PHP的安裝路徑,如下所示。注意斜杠不要寫反了,因為我把PHP安裝在D盤的。
extension_dir = "D:\php\ext"
4、查找max_execution_time = 30
,將數字30
修改為300
或1200
。作用是每個腳本執行的最大時間,默認是30秒,解決可能因為網速和服務器的地址(如國外主機)可能會總是連接超時的問題。
5、搜索;cgi.force_redirect = 1
,把前面的分號去掉,并把數字1
改為0
。cgi.force_redirect = 0
的意思就是關閉重定向執行php文件,出于安全考慮防止別人上傳木馬執行如:你的網站url/as=你的網站url/sdf/muma.php
,這樣的重定向PHP文件是可執行的,將這個配置改為0之后這類型的重定向PHP文件就不會執行了。
這也是為什么有的網站總是被掛馬的原因,這樣修改之后即便是網站前臺存在安全漏洞,被hiker上傳了木馬文件,通過這樣的方式木馬文件不會運行,所以沒有用。
6、查找代碼;cgi.fix_pathinfo=1
將分號去掉并將數字1
改為0
。作用是禁止解析非法php文件,如/a.jpg/1.php
這樣的圖片下的一個php文件屬于非法的,設置為0就是禁止執行。這種將木馬偽裝成圖片上傳的文件存在已久,禁止這類文件運行,即使被上傳了木馬,由于設置了不允許運行,所以沒有用。
7、查找代碼fastcgi.impersonate = 1
將前面的分號去掉。作用是iis
或nginx
使用的是fastcgi
方式解析php文件,不開啟就不能運行php程序,Apache則不用開啟。
8、搜索 cgi.rfc2616_headers = 0
去掉分號并把0
改為1
。意思是告訴php使用什么樣的報頭,什么是報頭呢?就像這個:HTTP/1.1
。
9、搜索upload_tmp_dir =
,將前面的分號刪除并添加路徑如下:
upload_tmp_dir = D:\php\temp
意思是上傳文件的臨時目錄,用來存放網站上傳文件的臨時虛擬目錄,但是不會真的上傳任何文件在里面。
10、分別搜索以下代碼,一行一個,分別去掉其前面的分號(分號表示注釋,不生效的意思,去掉就生效了):
extension=bz2 extension=curl extension=gd2 extension=gmp extension=mbstring extension=php_mysql" target="_blank" href="http://undefined">mysql.dll extension=mysqli extension=pdo_mysql
11、查找date.timezone =
刪除分號并修改為如下這樣:
date.timezone = Asia/Shanghai
注意大小寫,意思是格式化時間,默認使用北京時間(東8區),這樣可以使服務器時間和程序的時間一致,否則可能你發文章顯示的時時間會和實際時間不一樣,如果不設置時間可能會相差8小時,也可以設置為date.timezone = PRC
,設置時區為中國時區,PRC是中國時區的簡稱。
以上就是完整的php.ini文件配置,真的有3處設置和網站的安全有關系,由于這個文件一般只會設置一次,之后都不會去更改,所以有的問題也不容易被發現。
以上就是php.ini配置中有3處設置可能導致網站安全出問題的詳細內容,你們了解了嗎?如果想了解更多請關注億速云其它相關文章!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。