如何配置Linux服务器上PHP安全硬化的详细步骤？

禁用危险函数、关闭信息暴露、限制文件权限、启用加密连接、配置open_basedir可提升PHP安全性。具体包括：在php.ini中禁用exec、system等高危函数；设置expose_php=Off、display_errors=Off以隐藏版本和错误信息；通过chmod 600和chown限制配置文件访问权限；开启OpenSSL扩展并强制HTTPS传输；使用open_basedir限制脚本访问路径，防止越权读取文件。

如果您在Linux服务器上运行PHP应用，但未进行适当的安全配置，则可能面临代码执行、数据泄露或文件包含等安全风险。以下是针对PHP安全硬化的详细操作步骤：

一、禁用危险的PHP函数

某些PHP内置函数可能被攻击者利用来执行系统命令或读取敏感文件。通过禁用这些高风险函数可有效降低被攻击的可能性。

1、打开PHP配置文件 php.ini，通常位于 /etc/php/<version>/apache2/php.ini 或 /etc/php.ini。

2、查找 disable_functions 指令，若已被注释则取消注释。

立即学习“PHP免费学习笔记（深入）”；

3、添加以下函数列表：exec,passthru,shell_exec,system,proc_open,popen,eval,assert,show_source,escapeshellarg,escapeshellcmd,dl。

4、保存文件并重启Web服务，例如执行 sudo systemctl restart apache2 或 nginx 对应命令。

二、关闭PHP信息暴露

生产环境中不应向客户端暴露PHP版本及配置信息，防止攻击者根据版本漏洞发起定向攻击。

1、编辑 php.ini 文件。

2、将 expose_php = On 修改为 Off，阻止HTTP头中输出PHP标识。

3、确保 display_errors = Off 以禁止错误信息直接输出到浏览器。

4、设置 log_errors = On 并指定日志路径如 error_log = /var/log/php-errors.log，便于后台排查问题。

5、保存后重启Web服务使配置生效。

三、限制PHP文件访问权限

通过文件系统权限控制，防止非授权用户读取或修改PHP脚本，尤其是包含数据库凭证的配置文件。

1、定位网站根目录下的关键PHP文件，如 config.php、database.php 等。

琅琅配音

全能AI配音神器

208

查看详情

2、执行命令 chmod 600 config.php，仅允许所有者读写。

3、使用 chown www-data:www-data config.php 将所有权赋予Web服务运行用户（根据实际用户调整）。

4、对上传目录如 uploads/ 设置为不可执行PHP，可在Web服务器配置中添加限制规则。

四、启用OpenSSL并强制加密连接

确保PHP支持HTTPS通信，并避免通过明文传输敏感数据。

1、确认已安装OpenSSL扩展，检查 php.ini 中是否存在 extension=openssl 且未被注释。

2、在Web服务器层面配置SSL证书，确保所有表单提交和API调用均通过 https:// 协议进行。

3、在PHP代码中使用 filter_input(INPUT_SERVER, 'HTTPS', FILTER_VALIDATE_BOOLEAN) 验证当前是否为安全连接。

4、对于涉及会话的操作，设置 session.cookie_secure = On 和 session.cookie_httponly = On。

五、配置PHP开放基目录限制

通过open_basedir限制PHP脚本只能访问指定目录，防止路径遍历攻击。

1、在 php.ini 或虚拟主机配置中设置 open_basedir 参数。

2、将其值设为网站根目录及其必要子目录，例如：/var/www/html:/tmp:/usr/share/php。

3、多个目录间使用冒号分隔，确保不包含全局可读路径如 /etc 或 /home。

4、测试脚本访问外部文件是否返回警告，确认限制已生效。

以上就是如何配置Linux服务器上PHP安全硬化的详细步骤？的详细内容，更多请关注php中文网其它相关文章！