php引擎php.ini引數優化

無論是apache還是nginx,php.ini都是適合的。而php-fpm.conf適合nginx+fcgi的配置
首先選擇產品環境的php.ini(php.ini-production)
/home/oldboy/tools/php-5.3.27/php.ini-development
/home/oldboy/tools/php-5.3.27/php.ini-production

1.開啟php的安全模式

2.使用者組安全

當safe_mode開啟時，safe_mode_gid被關閉，那麼php指令碼能夠對檔案進行訪問，而且相同組的使用者也能夠對檔案進行訪問。建議設定為：
safe_mode_gid http://www.cppcns.com= off
如果不進行設定，可能我們無法對我們伺服器網站目錄下的檔案進行操作了，比如我們需要對檔案進行操作的時候。php5.3.27預設為safe_mode_gid = off

3.關閉危險函式

如果打開了安全模式，那麼函式禁止是可以不需要的，但是我們為了安全還是考慮進去。比如，我們覺得不希望執行包括system()等在那的能夠執行命令的php函式，或者能夠檢視php資訊的phpinfo()等函式，那麼我們就可以禁止它們，方法如下：

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

4.關閉php版本資訊在http頭中的洩漏

為了防止黑客獲取伺服器中php版本的資訊，可以關閉該資訊斜路在http頭中。
該引數預設配置如下:
expose_php = On
;是否暴露php被安裝在伺服器上的事實(在http頭重加上其簽名)
;它不會有安全上的直接威脅，但它使得客戶端知道伺服器上安裝了php.
建議設定為
expose_php = Off

5.關閉註冊全域性變數

在php中提交的變數，包括使用post或get提交的變數，都將自動註冊為全域性變數，能夠直接訪問，這是對伺服器非常不安全的，所以我們不能讓它註冊為全域性變數，就把註冊全域性變數選項關閉:
預設配置：
register_globals = Off
;是否將E,G,P,C,S變數註冊為全域性變數
;開啟該指令可能會導致嚴重的安全問題，除非你的指令碼經過非常仔細的檢查。
;推薦使用預定義的超全域性變數：$_ENV,$_GET,$_POST,$_COOKIE,$_SERVER
;該指令受va
 
程式設計客棧riables_order指令的影響。
;php6中已經刪除此指令。
建議設定為：
register_globals = Off

6.開啟magic_quotes_gpc來防止SQl注入

magic_quotes_pgc = Off
這個預設是關閉的，如果它開啟後將自動把使用者提交對sql的查詢進行轉換，比如把'轉義為\'等，這對防止sql注入有重大作用，所以我們推薦設定為:
magic_quotes_pgc = On

7.錯誤資訊控制

一般php在沒有連線到資料庫或者其他情況下會有提示錯誤，一般錯誤資訊中會包含php腳本當前的路徑資訊或者查詢的SQL語句等資訊，這類資訊提供給黑客程式設計客棧後，是不安全的，所以一般伺服器建議禁止錯誤提示。
該引數預設配置如下：
display_errors = Off
;是否將錯誤資訊作為輸出的一部分顯示給終端使用者。應用除錯時，可以開啟，方便檢視錯誤。
;在最終釋出的web站點上，強烈建議你關掉這個特性，並使用錯誤日誌代替(參看下面)。
;在最終釋出的web站點開啟這個特性可能暴露一些安全資訊，
;例如你的web伺服器上檔案路徑、資料庫規劃或別的資訊。
設定為：
display_errors = Off
(php5.3.27預設即為display_errors = Off)
如果你確實是要顯示錯誤資訊，一定要設定顯示錯誤的級別，比如只顯示警告以上的資訊：
error_reporting = E_WARING & ERROR
當然，最好是關閉錯誤提示。

8.錯誤日誌

建議在關閉dispaly_errors後能夠把錯誤資訊記錄下來，便於查詢伺服器執行的原因：
log_errors = On
php5.3.27預設即為log_errors = On
同時也要設定錯誤日誌存放的目錄，建議根apache的日誌存在一起：
error_log = /app/logs/php_error.log
注意：給檔案必須允許apache使用者的和組具有寫的許可權

9.部分資源限制引數優化

(1)設定每個指令碼執行的最長時間
當無法上傳交大的檔案或者後臺裝置資料經常超時，此事需要調整如下設定：
max_execution_time = 30
;每個指令碼最大允許執行時間(秒)，0表示沒有限制。
;這個引數有助於阻止劣質指令碼無休止的佔用伺服器資源。
;該指令僅影響指令碼本身的執行時間，任何其他花費在指令碼執行之外的時間
;如用system()/sleep()函式的使用、資料庫查詢、檔案上傳等，都不包括在內。
;在安全模式下，你不能用ini_set()在執行時改變這個設定。

(2)每個指令碼使用的最大記憶體
memory_limit = 128M
;一個指令碼所能夠申請到的最大記憶體位元組數(可以使用K和M作為單位)
;這有助於防止劣質指令碼消耗完伺服器上的所有記憶體。
;要能夠使用該指令必須在編譯時使用"--enable-memory-limit"配置選項。
;如果要取消記憶體限制，則必須將其設為-1
;設定了該指令後，memory_get_usage()函式將變為可用。

(3)每個指令碼等待輸入資料最長時間
max_input_time = -1
;每個指令碼解析輸入資料(POST,GET,upload)的最大允許時間(秒)
;-1表示不限制
設定為
max_input_time = 60;

(4)上傳檔案的最大許可大小
當上傳較大檔案時，需要調整如下引數：
upload_max_filesize = 2M;
;上傳檔案的最大許可大小，一些圖片論壇需要這個更大的值。

10.部分安全引數優化

(1)禁止開啟遠端地址，記得最近出的php include的那個漏洞嗎？就是在一個php程式中include了變數，那麼入侵者就可以利用這個控制伺服器在本地執行遠端的一個php程式，例如phpshell,所以我們關閉這個。
allow_url_fopen = Off

(2)設定：cgi.fix_pathinfo=0防止Nginx檔案型別錯誤解析漏洞
cgi.fix_pathinfo=0

11.調整php sesson資訊存放型別和位置

session.save_handler = files
;儲存和檢索與會話關聯的資料的處理器名字。預設為檔案("files")
;如果想要使用自定義的處理器(如基於資料庫的處理器)，可用"user"
;設為"memcache"則可以使用memcache作為會話處理器(需要指定"--enable-memcache-sesJTpDUosion"編譯選項)
;session.save_path = "/tmp"
;傳遞給儲存處理器的引數。對於files處理器，此值是程式設計客棧建立會話資料檔案的路徑
參考資料：
LAMP系統性能調優，第1部分：理解LAMP架構
http://www.ibm.com/developerworks/cn/linux/l-tune-lamp-1/
LAMP系統性能調優，第2部分：優化Apache和PHP
http://www.ibm.com/developerworks/cn/linux/l-tune-lamp-2.html
LAMP系統性能調優，第3部分：mysql伺服器調優
http://www.ibm.com/developerworks/cn/linux/l-tune-lamp-3.html

12安裝memcache客戶端

修改配置檔案，在php.ini中全域性設定：
web叢集session共享儲存設定：
預設php.ini中session的型別和配置路徑：
#session.save_handler = files
#session.save_path = "/tmp"
修改成如下設定：
session.save_handler = memcache
session.save_path = "tcp://10.0.0.18:11211"
提示：
1）10.0.0.18：11211為memcached資料庫快取的IP及埠
2）上述適合LNMP，LAMP環境
3）memcached伺服器也可以是多臺通過hash排程

使用tmps作為快取加速快取的檔案目錄
 mount -t tmpfs tmpfs /dev/shm -o size=256m
 mount -t tmpfs /dev/shm/ /tmp/eaccelerator

1.上傳圖片縮圖臨時處理的目錄/tmp
2.其他加速器臨時目錄 /tmp/eaccelerator

到此這篇關於PHP引擎php.ini引數優化深入講解的文章就介紹到這了,更多相關PHP引擎php.ini引數優化內容請搜尋我們以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援我們！