2. 程式人生 > >php.ini安全配置禁用危險函式open_basedir防止跨目錄

php.ini安全配置禁用危險函式open_basedir防止跨目錄

阿新 發佈:2018-12-23 
disable_functions = phpinfo,chroot,chown,chmod,system,shell_exec,passthru,exec,assert,pcntl_exec,proc_open,``,phpfunc,proc_get_status,chgrp,popen,get_cfg_var
; ###################### 禁用的危險函式 BEGIN #######################################################unlink,readdir,
;disable_functions = phpinfo
;執行提權命令類,chroot,chgrp,chown,ini_set,ini_alter,ini_restore,get_cfg_var popen
;執行系統命令類,exec,passthru,system,shell_exec,popen,
;探測資訊路徑類,phpinfo,chroot,proc_get_status,
;執行越權寫入類,proc_open,error_log,dl,pfsockopen,syslog,readlink,symlink,stream_socket_server,putenv
;"
; ###################### 禁用的危險函式 END #########################################################

修改php.ini的open_basedir防止跨目錄

open_basedir = "c:\WWW;C:\Windows\Temp;C:\Users\APACHE~1.IZ2\AppData\Local\Temp;"

參考文獻

(3) open_basedir: 將使用者可操作的檔案限制在某目錄下; 
——————————————————————————– 
如下是php.ini中的原文說明以及預設配置: 
; open_basedir, if set, limits all file operations to the defined directory 
; and below. This directive makes most sense if used in a per-directory or 


; per-virtualhost web server configuration file. This directive is 
; *NOT* affected by whether Safe Mode is turned On or Off. 
open_basedir = . 

open_basedir可將使用者訪問檔案的活動範圍限制在指定的區域,通常是其家目錄的路徑,也可用符號”.”來代表當前目錄。注意用open_basedir指定的限制實際上是字首,而不是目錄名。 
舉例來說: 若”open_basedir = /dir/user”, 那麼目錄 “/dir/user” 和 “/dir/user1″都是可以訪問的。所以如果要將訪問限制在僅為指定的目錄,請用斜線結束路徑名。例如設定成: 

“open_basedir = /dir/user/” 

open_basedir也可以同時設定多個目錄, 在Windows中用分號分隔目錄,在任何其它系統中用冒號分隔目錄。當其作用於Apache模組時,父目錄中的open_basedir路徑自動被繼承。 

有三種方法可以在Apache中為指定的使用者做獨立的設定: 
(a) 在Apache的httpd.conf中Directory的相應設定方法: 
<Directory /usr/local/apache/htdocs> 
php_admin_value open_basedir /usr/local/apache/htdocs/ 
#設定多個目錄可以參考如下: 
php_admin_value open_basedir /usr/local/apache/htdocs/:/tmp/ 
</Directory> 

(b) 在Apache的httpd.conf中VirtualHost的相應設定方法: 
php_admin_value open_basedir /usr/local/apache/htdocs/ 
#設定多個目錄可以參考如下: 
php_admin_value open_basedir /var/www/html/:/var/tmp/ 

(c) 因為VirtualHost中設定了open_basedir之後, 這個虛擬使用者就不會再自動繼承php.ini中的open_basedir設定值了,這就難以達到靈活的配置措施, 所以建議您不要在VirtualHost 中設定此項限制. 例如,可以在php.ini中設定open_basedir = .:/tmp/, 這個設定表示允許訪問當前目錄(即PHP指令碼檔案所在之目錄)和/tmp/目錄. 

請注意: 若在php.ini所設定的上傳檔案臨時目錄為/tmp/, 那麼設定open_basedir時就必須包含/tmp/,否則會導致上傳失敗. 新版php則會提示”open_basedir restriction in effect” 警告資訊, 但move_uploaded_file()函式仍然可以成功取出/tmp/目錄下的上傳檔案,不知道這是漏洞還是新功能. 

相關推薦

php.ini安全配置禁用危險函式open_basedir防止目錄

disable_functions = phpinfo,chroot,chown,chmod,system,shell_exec,passthru,exec,assert,pcntl_exec,proc_open,``,phpfunc,proc_get_status,chgr

大檔案上傳,修改php.ini配置之後仍不生效解決方法

今天把程式放到服務上(LAMP環境)之後,發現大檔案上傳又不生效了,第一想到的方案就是修改新安裝環境的php.ini配置,修改大體分為兩步: 1、修改上傳大小限制 file_uploads = On upload_max_filesize = 50M post_max_s

php.ini 檔案配置詳解

;;;;;;;;;;;;;;;; ;; 作者:金步國 ;; 日期:2006.11.12 ;;;;;;;;;;;;;;;; ;;  版權宣告  ;; ;;;;;;;;;;;;;;;; ; 本文作者是一位自由軟體愛好者,所以本文雖然不是軟體,但是本著 GPL 的精神釋出。 ; 任何人都可以自由使用、轉載、複製和

有些需要禁用PHP危險函式(disable_functions)

  phpinfo()  功能描述:輸出 PHP 環境資訊以及相關的模組、WEB 環境等資訊。  危險等級:中  passthru()  功能描述:允許執行一個外部程式並回顯輸出,類似於 exec()。  危險等級:高  ex

幾個有用的PHP.ini配置項-安全模式

安全模式 1、建議不要使用安全模式,該模式已經在PHP 5.3.0中刪除。下列所有配置項都不依賴於safe_mode配置項 2、open_basedir = string 作用域:PHP_INI_SYSTEM 預設值:NULL 假設所有web檔案都位於目錄/home/www中,為防止使用者通過一些簡單的PHP

PHP配置文件詳解php.ini

php配置文件詳解php.iniPHP配置文件詳解php.ini [PHP] ; PHP還是一個不斷發展的工具,其功能還在不斷地刪減 ; 而php.ini的設置更改可以反映出相當的變化, ; 在使用新的PHP版本前,研究一下php.ini會有好處的 ;;;;;;;;;;;;;;;;;;; ; 關於這個

php.ini配置文件詳解

php.ini配置文件詳解php.ini配置文件詳解查找 php.ini路徑:# /usr/local/php/bin/php -i |head看那一行Loaded Configuration File => /usr/local/php/etc/php.ini。如果這裏為None,那麽就說明沒有加載到

php讀取不到指定的php.ini配置

class 路徑 pre spa conf opts nbsp log 修改 啟動時指定路徑 解決方案一:修改 /etc/init.d/php-fpm 文件 1 # 在這行命令上添加 指定的配置路徑 2 php_opts="--fpm-config $php_fpm_

PHP7中php.iniphp-fpm和www.conf的配置(轉)

type date 以及 錯誤信息 sed 慢日誌 path tty exp 根據前文 《2015博客升級記(五):CentOS 7.1編譯安裝PHP7》 的 configure 編譯參數設定,安裝後的PHP7配置文件所在路徑是 /usr/local/php7/etc 。該

Linux VPS 安全配置禁用22端口、root用戶以及配置Denyhosts防暴力破解

usermod run 主題 工具 wheel mit smt 個人 連不上 最近租用了一臺Vultr東京機房的VPS,每天都會生成許多異常登錄失敗的日誌,疑似受到掃描軟件的暴力破解,遂Google了一下服務器安全防護方面的知識。 廢話不多說,下面將操作過程記錄下來: 註意

php.ini配置文件

fas 瀏覽器 cache 字符 回收 特定 euc bits 改變 php.ini配置文件: engine=On;使PHP腳本語言引擎在Apache下有效。當設置engine=Off後不能解析PHP文件。 short_open_tag=Off;設置<? code ?

LAMP(php動態擴展模塊,httpd的rewrite,php錯誤日誌,php.ini配置詳解)

php動態擴展模塊 httpd的rewrite php錯誤日誌 php.ini配置詳解 一、php動態擴展模塊比如我們需要用到php一個模塊,恰好他沒有這個模塊。我們需要編一個.so出來?/usr/local/php/bin/php -m //查看模塊 ? 下面安裝一個redis的模塊 ? c

PHP 錯誤日誌/安全配置

安全 serve shel 常用配置 aps 文件 restore 操作性 模塊 PHP 常用配置 /php/bin/php -i | head Loaded Configuration File => /php/etc/php.ini 查看php配置目錄

Linux下PHP網站安全加固配置

Nginx web安全 php PHP安全配置:1、 disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,

配置php.ini中的擴展庫後,重啟apache出現錯誤1067

ini 沒有 更改 一次 是把 需要 解決 dir 重裝 網上有很多解決辦法,比如更改環境變量,重裝apache等等,但沒有一個是符合我的.最後發現只是犯了一個低級錯誤,因為是第一次配置php.ini中的擴展庫,忘記配置擴展庫的路徑. 解決辦法:需要先加上擴展庫路徑: ex

php獲取視頻長度,php.ini配置

gre 服務 exec -c exe 修改 div 安裝 gin php獲取視頻長度 $long = exec("ffmpeg -i video.mp4 2>&1 | grep ‘Duration‘ | cut -d ‘ ‘ -f 4 | sed s/,//

php.ini 配置詳解

擴展 不同數據庫 style 站點 狀態碼 查詢 cor ip地址 的人 這個文件必須命名為‘‘php.ini‘‘並放置在httpd.conf中的PHPIniDir指令指定的目錄中。最新版本的php.ini可以在下面兩個位置查看:http://cvs.php.net/vie

<nginx + php> 修改配置文件php.ini不生效

opc onf execution exec zabbix監控 添加 gin php.ini 如果 搭建zabbix監控的時候,配置錯了php的配置項,需要修改php.ini;修改php.ini後發現配置項不生效; 首先查看 php.ini的配置項: opcache.ena

PHP的parse_ini_file()函式,解釋結構型別php.ini格式的檔案

直接讀取,返回一維陣列 如,"test.ini" 的內容: [names] me = Robert you = Peter [urls] first = "http://www.example.com" second = "http://www.w3school.com.cn" 程式

Nginx下修改php.ini後重新載入配置檔案命令 Nginx下修改php.ini後重新載入配置檔案命令

Nginx下修改php.ini後重新載入配置檔案命令   修改php.ini後 如,我的 php.ini 檔案是放在 /etc/php.ini php 所在目錄是 /www/Linux/php-5.2.17 修改 php.ini 後要用 php-f