web安全之php中常见的INI文件配置

php.ini

在 PHP 启动时被读取。对于服务器模块版本的 PHP，仅在 web 服务器启动时读取

一次。对于 CGI 和 CLI 版本，每次调用都会读取。

* Apache web 服务器在启动时会把目录转到根目录，这将导致 PHP 尝试在根目录

下读取 php.ini，如果存在的话。

* 在 php.ini 中可以使用环境变量。

.user.ini 文件

自 PHP 5.3.0 起，PHP 支持基于每个目录的 .htaccess 风格的 INI 文件。此类文件

仅被 CGI／FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果使

用 Apache，则用 .htaccess 文件有同样效果。

启用全局变量

register_globals = on

有些程序例如OSC需要启用全局变量.这个设置的作用是关闭自动注册的全局变量，

在设置为On的时候，php会将$_POST，$_GET，$_COOKIE，$_ENV，$_SESSION数组中的$key=>$value直

接注册为变量，比如$_POST['username']就会被注册为$username。

虽然方便了调用，但是会有三个问题：

• 不知道变量是哪里来的，$_POST来的还是$_SESSION来的呢？非常不方便别人阅读代码。

• 变量之间互相覆盖，引起不必要的麻烦。

• 安全问题。所以要设置为Off。

短标签

short_open_tag = On

这个设置决定是否允许使用 PHP 代码开始标志的缩写形式（<? ?>）。如果禁用了，必须使用 PHP 代码开始

标志的完整形式（<?php ?>）。

本指令也会影响到缩写形式 <?=，它和 <? echo 等价。使用此缩写需要 short_open_tag 的值为 On。 从

PHP 5.4.0 起， <?= 总是可用的。

安全模式

safe_mode = off

php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，同时把很多文件

操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd，但是默认的php.ini是没有打

开安全模式的

安全模式下执行程序主目录

safe_mode_exec_dir = /var/www/html

如果 PHP 使用了安全模式，system() 和其它程序执行函数将拒绝启动不在此目录中的程序。必须使用 / 作为

目录分隔符，包括 Windows 中。 简单来说，就是这个目录下可以执行。

禁用类／函数

disable_classes = , disable_functions = , disable_functions = opendir,readdir,scandir,fopen,unlink

禁用某些类，禁止某些函数。接受逗号分隔的函数名列表作为参数。只能设置在 php.ini 中。

设置上传文件大小

file_uploads = on

upload_max_filesize = 8M

post_max_size = 8M

POST的数值要大于等于upload，否则upload不起作用。

文件上传临时目录

upload_tmp_dir =

上传临时文件保存的目录，需要可写，如果不设置，则采用系统临时目录。（/tmp）

用户访问目录限制

open_basedir = .:/tmp/

使用open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问不应该访问的文件，

一定程度上限制了phpshell的危害.我们一般可以设置为只能访问网站目录,表示允许访问当前目录(即PHP脚本

文件所在之目录)和/tmp/目录，有效防止php木马跨站运行。

错误信息控制

display_error = On

是否将错误信息作为输出的一部分，站点发布后应该关闭这项功能，以免暴露信息。调试的时候当然是要On的，

不然就什么错误信息也看不到了。

设置错误报告级别

error_reporting = E_ALL

这个设置的作用是将错误级别设置为最高，可以显示所有的问题，方便查错，也有利于写出高质量的代码。

日志级别是一些常量，在php.ini中有写，推荐使用 E_ALL | E_STRICT，即所有级别。

错误日志

error_log =

错误日志的位置，必须对web用户可写入，如果不定义则默认写入到web服务器的错误日志中去 。

log_errors = on

如上所说，建议将错误日志输出到文件，而不是直接输出到前端。

log_errors_max_length = 1024

错误日志关联信息的最大长度，设为0表示无限长度。

魔术引号 【Warning：本特性已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。】

magic_quotes_gpc = On

magic_quotes_runtime = Off

为 GPC (Get/Post/Cookie) 操作设置 magic_quotes 状态。 当 magic_quotes 为 on，所有的 ' (单引号)、"

(双引号)、\（反斜杠）和 NULL 被一个反斜杠自动转义。

是否允许打开远程文件

allow_url_fopen = on

本选项激活了 URL 形式的 fopen 封装协议使得可以访问 URL 对象例如文件。默认的封装协议提供用 ftp 和

http 协议来访问远程文件，一些扩展库例如 zlib 可能会注册更多的封装协议。

是否允许包含远程文件

allow_url_include = off

本选项激活允许 include, include_once, require, require_once等函数使用 URL 形式的 fopen 封装协议。简

单来说就是可以包含远程文件。