如何禁用PHP危险函数_system、exec等函数禁用安全配置步骤

1、通过修改php.ini文件中的disable_functions指令禁用system,exec,passthru,shell_exec等危险函数，并重启Web服务；2、在Apache环境下使用.htaccess文件设置php_admin_value disable_functions实现目录级控制；3、在PHP-FPM中为不同应用配置独立池，通过php_admin_value[disable_functions]实现函数禁用隔离，提升多应用环境安全性。

如果您在配置服务器时发现PHP的某些函数可能被恶意利用执行系统命令，则需要立即禁用这些危险函数以防止安全漏洞。以下是针对此类问题的安全配置步骤。

本文运行环境：Dell PowerEdge R750，Ubuntu 22.04

一、通过php.ini禁用危险函数

修改PHP主配置文件php.ini是最直接且有效的方法，可以全局性地禁用指定的危险函数，确保所有使用该PHP环境的应用都受到保护。

1、使用SSH登录服务器，找到php.ini文件所在路径，通常位于/etc/php/8.1/apache2/php.ini或/etc/php/8.1/fpm/php.ini，具体路径可通过php --ini命令查看。

立即学习“PHP免费学习笔记（深入）”；

2、使用文本编辑器打开php.ini文件，例如执行sudo nano /etc/php/8.1/apache2/php.ini。

3、搜索配置项disable_functions，若未设置则在适当位置添加该指令。

4、在disable_functions后添加需禁用的函数，多个函数间使用逗号分隔，例如：system,exec,passthru,shell_exec,popen,proc_open,pcntl_exec。

5、保存文件并退出编辑器，然后重启Web服务使配置生效，如执行sudo systemctl restart apache2或sudo systemctl restart php8.1-fpm。

二、通过.htaccess文件限制（适用于Apache环境）

对于共享主机或无法修改php.ini的场景，可使用.htaccess文件对特定目录下的PHP执行进行限制，实现细粒度控制。

1、进入网站根目录或需保护的子目录，例如/var/www/html。

秘塔写作猫

秘塔写作猫是一个集AI写作、校对、润色、配图等为一体的创作平台

127

查看详情

2、创建或编辑.htaccess文件，执行nano .htaccess。

3、添加如下内容以设置PHP选项：php_admin_flag engine on 和 php_admin_value disable_functions system,exec,passthru,shell_exec。

4、保存文件，确保Apache已启用AllowOverride功能以允许.htaccess生效。

5、测试访问页面，确认危险函数已被禁用且无500错误。

三、使用PHP-FPM池配置隔离应用

在多租户或多个应用共存的环境中，可通过为每个应用配置独立的PHP-FPM池，并在池中单独设置禁用函数，实现更灵活的安全策略。

1、进入PHP-FPM配置目录，如/etc/php/8.1/fpm/pool.d/。

2、复制默认池配置并重命名为目标应用名称，例如cp www.conf site1.conf。

3、编辑site1.conf文件，在[site1]段落下添加：php_admin_value[disable_functions] = system,exec,passthru,shell_exec,popen,proc_open。

4、保存配置后重启PHP-FPM服务：sudo systemctl restart php8.1-fpm。

5、验证该池对应网站的PHP环境中相关函数是否已被禁用。

以上就是如何禁用PHP危险函数_system、exec等函数禁用安全配置步骤的详细内容，更多请关注php中文网其它相关文章！