php.ini配置中有3处设置可能导致网站安全出问题-创新互联
php.ini配置中有3处设置可能导致网站安全出问题。那么是哪三处呢?跟着小编一起往下看吧。一定会对你们有所帮助的。
创新互联-专业网站定制、快速模板网站建设、高性价比成武网站开发、企业建站全套包干低至880元,成熟完善的模板库,直接使用。一站式成武网站制作公司更省心,省钱,快速模板网站建设找我们,业务覆盖成武地区。费用合理售后完善,十载实体公司更值得信赖。首先大家都知道所有的PHP源码网站都必须配置环境,不论是使用集成环境还是自己手动搭建,可能很少有人关注过php.ini
里面配置的这些东西到底有什么作用,很多站长在设置php.ini文件时,都是网上找一个教程,然后人家说哪里增加哪里删除按步骤进行,但是这里面的设置还真有两处会引起网站安全问题。
有人会说就一个php.ini
文件怎么可能会有安全问题呢,难不成hiker会攻击的我php.ini
文件不成?
这倒不是啦,而是运行方式会给hiker提供一个窗口,请看下面的配置步骤说明。
以windows
系统上安装PHP
为例,所有版本的php.ini
文件的设置几乎都是一样的,先去官方网站下载需要的PHP版本,然后解压缩并重命名。
假设安装php7.4
,安装在服务器" target="_blank" href="http://undefined">服务器的D盘根目录:下载Non-Thread Safe (NTS) 版本的PHP程序,然后解压缩,并重命名为“php”文件夹,将其拷贝到D盘根目录下面。
打开D:\php
下的php.ini-development
文件,复制一份并将其重命名为php.ini
,打开D:\php\php.ini
文件,下面是完整的配置过程。
1、将short_open_tag = Off
改为
short_open_tag = On
这样修改的作用是一些网站的模板文件中使用了如 ?>这样的php代码,可保证代码可以正常执行,在ecshop、dedecms和WordPress等模板中也都常见于这类代码。
2、将expose_php = On
,将其改为
expose_php = Off
作用是出于网站安全,禁止显示php的版本号,防止别人针对特定php版本漏洞攻击网站。有的网站你用站长工具一查,使用的是什么web服务器、PHP版本是多少都一目了然,对于特定的PHP版本漏洞,hiker当然是知道的,隐藏版本号虽不能说解决了问题,但是会给hiker增加难度。
3、查找如下代码
; On windows: ; extension_dir = "ext"
将这里的extension_dir前面的分号去掉,并且把ext修改为PHP的安装路径,如下所示。注意斜杠不要写反了,因为我把PHP安装在D盘的。
extension_dir = "D:\php\ext"
4、查找max_execution_time = 30
,将数字30
修改为300
或1200
。作用是每个脚本执行的大时间,默认是30秒,解决可能因为网速和服务器的地址(如国外主机)可能会总是连接超时的问题。
5、搜索;cgi.force_redirect = 1
,把前面的分号去掉,并把数字1
改为0
。cgi.force_redirect = 0
的意思就是关闭重定向执行php文件,出于安全考虑防止别人上传木马执行如:你的网站url/as=你的网站url/sdf/muma.php
,这样的重定向PHP文件是可执行的,将这个配置改为0之后这类型的重定向PHP文件就不会执行了。
这也是为什么有的网站总是被挂马的原因,这样修改之后即便是网站前台存在安全漏洞,被hiker上传了木马文件,通过这样的方式木马文件不会运行,所以没有用。
6、查找代码;cgi.fix_pathinfo=1
将分号去掉并将数字1
改为0
。作用是禁止解析非法php文件,如/a.jpg/1.php
这样的图片下的一个php文件属于非法的,设置为0就是禁止执行。这种将木马伪装成图片上传的文件存在已久,禁止这类文件运行,即使被上传了木马,由于设置了不允许运行,所以没有用。
7、查找代码fastcgi.impersonate = 1
将前面的分号去掉。作用是iis
或nginx
使用的是fastcgi
方式解析php文件,不开启就不能运行php程序,Apache则不用开启。
8、搜索 cgi.rfc2616_headers = 0
去掉分号并把0
改为1
。意思是告诉php使用什么样的报头,什么是报头呢?就像这个:HTTP/1.1
。
9、搜索upload_tmp_dir =
,将前面的分号删除并添加路径如下:
upload_tmp_dir = D:\php\temp
意思是上传文件的临时目录,用来存放网站上传文件的临时虚拟目录,但是不会真的上传任何文件在里面。
10、分别搜索以下代码,一行一个,分别去掉其前面的分号(分号表示注释,不生效的意思,去掉就生效了):
extension=bz2 extension=curl extension=gd2 extension=gmp extension=mbstring extension=php_mysql" target="_blank" href="http://undefined">mysql.dll extension=mysqli extension=pdo_mysql
11、查找date.timezone =
删除分号并修改为如下这样:
date.timezone = Asia/Shanghai
注意大小写,意思是格式化时间,默认使用北京时间(东8区),这样可以使服务器时间和程序的时间一致,否则可能你发文章显示的时时间会和实际时间不一样,如果不设置时间可能会相差8小时,也可以设置为date.timezone = PRC
,设置时区为中国时区,PRC是中国时区的简称。
以上就是完整的php.ini文件配置,真的有3处设置和网站的安全有关系,由于这个文件一般只会设置一次,之后都不会去更改,所以有的问题也不容易被发现。
以上就是php.ini配置中有3处设置可能导致网站安全出问题的详细内容,你们了解了吗?如果想了解更多请关注创新互联其它相关文章!
标题名称:php.ini配置中有3处设置可能导致网站安全出问题-创新互联
文章地址:http://cdiso.cn/article/coedsg.html