1. php的配置文件
php的配置文件一般是php.ini文件。
php.ini文件必须命名为'php.ini'并放置在httpd.conf中的PHPIniDir指令指定的目录中,使用phpinfo()函数可以查看。
一般情况下需要对其进行配置,使环境更加安全。
1.1 php.ini(php版本号.ini,全局配置文件)
php.ini 文件必须命名为'php.ini'并放置在httpd.conf中的PHPIniDir指令指定的目录中,使用phpinfo()函数可以查看。
在PHP启动时读取。对于服务器模块版本的PHP,仅在web服务器启动时读取一次,对于CGI和CLI版本,每次调用都会读取。
注:
- apache web服务器在启动时会把目录转到根目录,这将导致PHP尝试在根目录下读取php.ini
- 在php.ini中可以使用环境变量。
1.2 .user.ini文件(用户级别的配置文件)
自PHP 5.3.0起,PHP支持基于每个目录的.htaccess风格的INI文件。此类文件仅被CGI/FastCGI SAPI处理。此功能使得PECL的htscanner跨站作废。如果使用Apache,则用.htaccess文件有同样的效果
用户级别的配置文件。如果使用Apache,则用.htaccess文件有同样效果
2. php的配置-语法
指令格式:directive=value (指令名directive是大小写敏感的)
3. 常见重要配置-变量相关
php配置语法
指令名(directive)是大小写敏感的,所以”foo=bar"不同与“FOO=bar"。
值value可以是:
- 用引号界定的字符串(如:"foo")
- 一个数字(整数或浮点数,如:0, 1, 34, -1, 33.55)
- 一个PHP常量(如:E_ALL,M_PI)
- 一个INI常量(On, Off, none)
- 一个表达式(如:E_ALL & ~E_NOTICE)
INI中的表达式仅使用:
位运算符、逻辑非、圆括号、I位或、&位与、~位非、!逻辑非,
布尔标志用On表示打开,用Off表示关闭。
foo = ; 将foo设置为空字符串
foo = none; 将foo设置为空字符串
foo = "none"; 将foo设为字符串"none"
配置文件(php.ini)在PHP启动时被读取,对于服务器模块的PHP,仅在web服务器启动时读取一次。
还可以在httpd.conf中覆盖php.ini的值,以进行更灵活的配置。当PHP作为Apache模块时,也可以用Apache的配置文件(例如httpd.conf)和.htaccess文件中的指令来修改PHP的配置设定。需要有"AllowOverride Options"或"AllowOverride All"权限才可以。
3.1 启用全局变量
register_globals = off
注:新版本已经移除了
有些程序例如OSC需要启用全局变量,这个设置的作用是关闭自动注册的全局变量,在设置On的时候,php会将$_POST, $_GET, $_COOKIE, $_SESSION数组中的$key=$value直接注册为变量,比如$_POST['username']就会被注册为$username。虽然方便了调用,但是会有三个问题:
- 不知道变量哪里来的,$_POST来的还是$_SESSION来的呢?非常不方便别人阅读
- 变量之间互相覆盖,引起不必要的麻烦。
- 安全问题,所以要设置为Off
3.2 短标签
short_open_tag = on
这个设置决定是否允许PHP代码开始标志的缩写形式()。如果禁用了,必须使用PHP代码开始标志的完整形式()
如果开启段标签:
拿shell中有用,通过短标签绕过。
4. 常见重要配置-安全模式
4.1 安全模式
sefe_mode = off
能够控制php中的一些函数,比如system()。同时把很多文件操作函数进行了权限控制,也不允许读取某些关键文件,比如/etc/passwd,但是默认的php.ini是没有打开安全模式的。
PHP5.3.0起废弃并将自PHP5.4.0起移除
4.2 安全模式下执行程序主目录
safe_mode_exec_dir = /var/www/html
如果PHP使用了安全模式,system()和其它程序执行函数将拒绝启动不在此目录中的程序。必须使用/作为目录分割符,包括Windows中,简单来说,就是这个目录下可以执行。
4.3 禁用类/函数(*)
disable_classes = , disable_functions =
5. 常见重要配置-上传文件以及上传权限
5.1 设置上传及最大上传文件大小
file_uploads = on
file_max_filesize = 8M
5.2 文件上传临时目录
upload_tmp_dir =
如果不设置,则采用系统临时目录(/tmp,C:\Windows\Temp)
5.3 用户访问目录限制
open_basedir = .:/tmp/
open_basedir = .;c:\windows\temp
使用open_basedir选项能够控制PHP脚本只能访问指定的目录,这样能够避免PHP脚本访问不应该访问的文件,一定程度上限制了phpshell的危害,我们一般可以设置为只能访问网站目录,表示允许访问当前目录(即PHP脚本文件所在目录)和/tmp/目录,有效防止php木马跨站运行。
6. 常见重要配置-错误信息
6.1 错误信息控制
display_error = On
是否将错误信息作为输出的一部分,站点发布后应该关闭这项功能,以免暴露信息。调试的时候当然是要On的,不然就什么错误信息也看不到了。
6.2 设置错误信息报告级别
error_reporting = E_ALL
这个设置的作用是将错误级别设置为最高,可以显示所有的问题,方便查错,也有利于写出高质量的代码,报告级别是一些常量,在php.ini中有写,推荐使用E_ALL | E_STRICT ,即所有级别。
6.3 错误日志
error_log=
错误日志的位置,必须对web用户可写入,如果不定义则默认写到web服务器的错误日志中去。
log_errors = on
log_errors_max_length = 1024
7. 常见重要配置-魔术引导及远程文件
7.1 魔术引导(php5.3.0废弃php5.4.0起移除)
magic_quotes_gpc = On
magic_quotes_runtime = Off
为GPC(Get/Post/Cookie)操作设置magic_quotes状态。当magic_quotes为on,所有的'(单引号)、"(双引号)、(反斜杠)和NULL被一个反斜杠自动转义。影响效率。
7.2 是否允许打开远程文件
alllow_url_fopen = on
本选项激活了URL形式的fopen封装协议使得可以访问URL对象例如文件。默认的封装协议提供ftp和http协议来访问远程文件,一些扩展库例如zlib可能会注册更多的封装协议。
echo file_get_contents("http://php.net");
7.3是否允许包含远程文件
allow_url_include = off
本选项激活允许include, include_once, require, require_once等函数使用URL形式的fopen封装协议。简单来说就是可以包含远程文件。
include("http://php.net")