PHP的安全配置

（1）safe_mode

安全模式：限制文档的存取，限制环境变量的存取以及控制外部程序的运行。
safe_mode是唯一PHP_INI_SYSTEM属性，必须通过php.ini或httpd.conf来设置。要启用safe_mode，只需修改php.ini：
safe_mode = On
或者修改httpd.conf，定义目录：
Options FollowSymLinks
php_admin_value safe_mode 1
重启apache后safe_mode就生效了。启动safe_mode，会对许多PHP函数进行限制，特别是和系统相关的文件打开、命令执行等函数。
所有操作文件的函数将只能操作与脚本UID相同的文件

 

（2）禁止列目录

在该目录下放置首页文件，index.php 或 index.html等

 

（3）关闭危险函数
如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的phpinfo()等函数，那么我们就可以禁止它们：
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作
disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown
以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，就能够抵制大部分的phpshell了。

(4) 关闭PHP版本信息在http头中的泄漏
我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中：
expose_php = Off
比如黑客在 telnet www.target.com 80 的时候，那么将无法看到PHP的信息。

(5) 关闭注册全局变量
在PHP中提交的变量，包括使用POST或者GET提交的变量，都将自动注册为全局变量，能够直接访问，这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：
register_globals = Off
当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET提交的变量var，那么就要用$_GET['var']来进行获取，这个php程序员要注意。

(6) 打开magic_quotes_gpc来防止SQL注入
SQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，所以一定要小心。php.ini中有一个设置：
magic_quotes_gpc = Off
这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，比如把 ' 转为 '等，这对防止sql注射有重大作用。所以我们推荐设置为：
magic_quotes_gpc = On

(7) 错误信息控制
一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php脚本当前的路径信息或者查询的SQL语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示：
display_errors = Off
如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：
error_reporting = E_WARNING & E_ERROR
当然，我还是建议关闭错误提示。

(8) 错误日志
建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：
log_errors = On
同时也要设置错误日志存放的目录，建议根apache的日志存在一起：
error_log = /usr/local/apache2/logs/php_error.log
注意：给文件必须允许apache用户的和组具有写的权限。

 

（9) 隐藏PHP

在php.ini里使用 expose_php 选项来防止Web服务器泄露PHP的报告信息,默认已开启。如下：

expose_php = On

利用整个设置，你能够阻碍一些来自自动脚本针对Web服务器的攻击。通常情况下，HTTP的头信息里面包含了如下信息：

Server: Apache/1.3.33 (Unix) PHP/5.0.3 mod_ssl/2.8.16
OpenSSL/0.9.7c

在 expose_php 选项打开以后，PHP的版本信息将不包含在上面的头信息里。

 

（10）对所有网页输入参数进行正在表达式过滤，对所有上传文件进行格式限制

 

（11）设置robots.txt文件

该文件用来设定站点中允许或拒绝搜索引擎访问的内容，注意该文件必须放在根目录且名称小写