禁用危险函数、关闭信息暴露、限制文件权限、启用加密连接、配置open_basedir可提升PHP安全性。具体包括:在php.ini中禁用exec、system等高危函数;设置expose_php=Off、display_errors=Off以隐藏版本和错误信息;通过chmod 600和chown限制配置文件访问权限;开启OpenSSL扩展并强制HTTPS传输;使用open_basedir限制脚本访问路径,防止越权读取文件。
如果您在Linux服务器上运行PHP应用,但未进行适当的安全配置,则可能面临代码执行、数据泄露或文件包含等安全风险。以下是针对PHP安全硬化的详细操作步骤:
一、禁用危险的PHP函数
某些PHP内置函数可能被攻击者利用来执行系统命令或读取敏感文件。通过禁用这些高风险函数可有效降低被攻击的可能性。
1、打开PHP配置文件 php.ini,通常位于 /etc/php/
2、查找 disable_functions 指令,若已被注释则取消注释。
立即学习“PHP免费学习笔记(深入)”;
3、添加以下函数列表:exec,passthru,shell_exec,system,proc_open,popen,eval,assert,show_source,escapeshellarg,escapeshellcmd,dl。
4、保存文件并重启Web服务,例如执行 sudo systemctl restart apache2 或 nginx 对应命令。
二、关闭PHP信息暴露
生产环境中不应向客户端暴露PHP版本及配置信息,防止攻击者根据版本漏洞发起定向攻击。
1、编辑 php.ini 文件。
2、将 expose_php = On 修改为 Off,阻止HTTP头中输出PHP标识。
3、确保 display_errors = Off 以禁止错误信息直接输出到浏览器。
4、设置 log_errors = On 并指定日志路径如 error_log = /var/log/php-errors.log,便于后台排查问题。
5、保存后重启Web服务使配置生效。
三、限制PHP文件访问权限
通过文件系统权限控制,防止非授权用户读取或修改PHP脚本,尤其是包含数据库凭证的配置文件。
1、定位网站根目录下的关键PHP文件,如 config.php、database.php 等。
2、执行命令 chmod 600 config.php,仅允许所有者读写。
3、使用 chown www-data:www-data config.php 将所有权赋予Web服务运行用户(根据实际用户调整)。
4、对上传目录如 uploads/ 设置为不可执行PHP,可在Web服务器配置中添加限制规则。
四、启用OpenSSL并强制加密连接
确保PHP支持HTTPS通信,并避免通过明文传输敏感数据。
1、确认已安装OpenSSL扩展,检查 php.ini 中是否存在 extension=openssl 且未被注释。
2、在Web服务器层面配置SSL证书,确保所有表单提交和API调用均通过 https:// 协议进行。
3、在PHP代码中使用 filter_input(INPUT_SERVER, 'HTTPS', FILTER_VALIDATE_BOOLEAN) 验证当前是否为安全连接。
4、对于涉及会话的操作,设置 session.cookie_secure = On 和 session.cookie_httponly = On。
五、配置PHP开放基目录限制
通过open_basedir限制PHP脚本只能访问指定目录,防止路径遍历攻击。
1、在 php.ini 或虚拟主机配置中设置 open_basedir 参数。
2、将其值设为网站根目录及其必要子目录,例如:/var/www/html:/tmp:/usr/share/php。
3、多个目录间使用冒号分隔,确保不包含全局可读路径如 /etc 或 /home。
4、测试脚本访问外部文件是否返回警告,确认限制已生效。
