php.ini配置中有3处设定不妥会使网站存在平安题目
php.ini里面配置的这些东西到底有什么作用,许多站长在设定php.ini文件时,都是网上寻一个教程,然后人家说哪里增添哪里删除按步骤停止,但是这里面的设定还真有两处会引发网站平安问题。
有人会说就一个php.ini文件如何大概会有平安问题呢,难不成hiker会攻击的我php.ini文件不成?
这倒不是啦,而是运转方式会给hiker供给一个窗口,请看下面的配置步骤说明。
以windows系统上安置PHP为例,所有版本的php.ini文件的设定几乎都是一样的,先去官方网站下载需要的PHP版本,然后解紧缩并重命名。
假设安置php7.4,安置在效劳器的D盘根名目:下载Non-Thread Safe (NTS) 版本的PHP程序,然后解紧缩,并重命名为“php”文件夹,将其拷贝到D盘根名目下面。
翻开D:\php下的php.ini-development文件,复制一份并将其重命名为php.ini,翻开D:\php\php.ini文件,下面是完全的配置历程。
1、将short_open_tag = Off改为
short_open_tag = On
这样修改的作用是一些网站的模板文件中使用了如<? ?>这样的php代码,可包管代码可以正常施行,在ecshop、dedecms和WordPress等模板中也都常见于这类代码。
2、将expose_php = On,将其改为
expose_php = Off
作用是出于网站平安,制止显示php的版本号,防止别人针对特定php版本破绽攻击网站。有的网站你用站长工具一查,使用的是啥web效劳器、PHP版本是多少都一览无余,关于特定的PHP版本破绽,hiker当然是知道的,潜藏版本号虽不克不及说解决了问题,但是会给hiker增添难度。
3、查寻如下代码
; On windows: ; extension_dir = "ext"
将这里的extension_dir前面的分号去除,并且把ext修改为PHP的安置途径,如下所示。留意歪杠不要写反了,由于我把PHP安置在D盘的。
extension_dir = "D:\php\ext"
4、查寻max_execution_time = 30,将数字30修改为300或1200。作用是每个足本施行的最大时间,默许是30秒,解决大概由于网速和效劳器的地址(如国外主机)大概会总是连接超时的问题。
5、搜索;cgi.force_redirect = 1,把前面的分号去除,并把数字1改为0。cgi.force_redirect = 0的意思就是关闭重定向施行php文件,出于平安思考防止别人上传木马施行如:你的网站url/as=你的网站url/sdf/muma.php,这样的重定向PHP文件是可施行的,将这个配置改为0之后这类型的重定向PHP文件就不会施行了。
这也是为什么有的网站总是被挂马的缘由,这样修改之后即使是网站前台存在平安破绽,被hiker上传了木马文件,通过这样的方式木马文件不会运转,所以没有用。
6、查寻代码;cgi.fix_pathinfo=1将分号去除并将数字1改为0。作用是制止解析不法php文件,如/a.jpg/1.php这样的图片下的一个php文件属于不法的,设定为0就是制止施行。这种将木马假装成图片上传的文件存在已久,制止这类文件运转,即便被上传了木马,由于设定了不同意运转,所以没有用。
7、查寻代码fastcgi.impersonate = 1将前面的分号去除。作用是iis或nginx使用的是fastcgi方式解析php文件,不开启就不克不及运转php程序,Apache则不消开启。
8、搜索 cgi.rfc2616_headers = 0 去除分号并把0改为1。意思是告诉php使用什么样的报头,什么是报头呢?就像这个:HTTP/1.1。
9、搜索upload_tmp_dir =,将前面的分号删除并增加途径如下:
upload_tmp_dir = D:\php\temp
意思是上传文件的暂时名目,用来存置网站上传文件的暂时虚拟名目,但是不会真的上传任何文件在里面。
10、离别搜索以下代码,一行一个,离别去除其前面的分号(分号表示注释,不生效的意思,去除就生效了):
extension=bz2 extension=curl extension=gd2 extension=gmp extension=mbstring extension=php_mysql.dll extension=mysqli extension=pdo_mysql
11、查寻date.timezone =删除分号并修改为如下这样:
date.timezone = Asia/Shanghai
留意大小写,意思是格局化时间,默许使用北京时间(东8区),这样可以使效劳器时间和程序的时间一致,不然大概你发文章显示的不时间会和实际时间不一样,假如不设定时间大概会相差8小时,也可以设定为date.timezone = PRC ,设定时区为我国时区,PRC是我国时区的简称。
以上就是完全的php.ini文件配置,真的有3处设定和网站的平安有关系,由于这个文件一样只会设定一次,之后都不会去更换,所以有的问题也不容易被发明。
本文来自:https://baijiahao.baidu.com/s?id=1660324056472707757&wfr=spider&for=pc
相关引荐:
PHP视频教程:https://www.php.cn/course/list/29/type/2.html
以上就是php.ini配置中有3处设定不妥会使网站存在平安问题的具体内容,更多请关注百分百源码网其它相关文章!
