系统管理员必须知道的PHP安全实践

Apache web 服务器提供了这种便利 ：通过 HTTP 或 HTTPS 协议，访问文

件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以，

使用 PHP 时要小心。以下是 25 个 PHP 安全方面的最佳实践，可供系统管理

员们安全地配置 PHP。

为 PHP 安全提示而提供的示例环境

◆文件根目录（DocumentRoot）：/var/www/html

◆ 默 认 的 Web 服 务 器 ：Apache（可 以 使 用 Lighttpd 或 Nginx 来 取 代

Apache）

◆默认的 PHP 配置文件 ：/etc/php.ini

◆默认的 PHP 加载模块配置目录 ：/etc/php.d/

◆我们的示例 php 安全配置文件 ：/etc/php.d/security.ini（需要使用文

本编辑器来创建该文件）

◆ 操 作 系 统 ：RHEL/CentOS/Fedora Linux（相 关 指 令 应 该 与 Debian/

Ubuntu 等其他任何 Linux 发行版或者 OpenBSD/FreeBSD/HP-UX 等其他类

似 Unix 的操作系统兼容）。

◆默认的 php 服务器 TCP/UDP 端口 ：无

将所有PHP错误记入日志

别让 PHP 错误信息暴露在网站的所有访客面前。编辑 /etc/php.d/

security.ini，执行以下指令 ：

display_errors=Off

确保你将所有 PHP 错误记入到日志文件中 ：

log_errors=On

error_log=/var/log/httpd/php_scripts_error.log

不允许上传文件

出于安全原因，编辑 /etc/php.d/security.ini，执行以下命令 ：

file_uploads=Off

如果使用你应用程序的用户需要上传文件，只要设置 upload_max_

filesize，即可启用该功能，该设置限制了 PHP 允许通过上传的文件的最大

值 ：

file_uploads=On

# 用户通过 PHP 上传的文件最大 1MB

upload_max_filesize=1M

关闭远程代码执行

如 果 启 用，allow_url_fopen 允 许 PHP 的 文 件 函 数 —— 如 file_get_

contents()、include 语句和 require 语句——可以从远程地方（如 FTP 或网站）

获取数据。

allow_url_fopen 选项允许 PHP 的文件函数——如 file_get_contents()、

include 语句和 require 语句——可以使用 FTP 或 HTTP 协议，从远程地方

获取数据。编程员们常常忘了这一点，将用户提供的数据传送给这些函数

时，没有进行适当的输入过滤，因而给代码注入安全漏洞留下了隐患。基于

PHP 的 Web 应用程序中存在的众多代码注入安全漏洞是由启用 allow_url_

fopen 和糟糕的输入过滤共同引起的。编辑 /etc/php.d/security.ini，执行

以下指令 ：

allow_url_fopen=Off

出于安全原因，我还建议禁用 allow_url_include ：

allow_url_include=Off

启用SQL安全模式

编辑 /etc/php.d/security.ini，执行以下指令 ：

sql.safe_mode=On

如果启用，mysql_connect() 和 mysql_pconnect() 就忽视传送给它们的

任何变量。请注意 ：你可能得对自己的代码作一些更改。sql.safe_mode 启

用后，第三方开源应用程序（如 WorkdPress）及其他应用程序可能根本运行

不了。我还建议你针对所有安装的 php 5.3.x 关闭 magic_quotes_gpc，因

为它的过滤并不有效、不是很可靠。mysql_escape_string() 和自定义过滤

函数能起到更好的作用 ：

magic_quotes_gpc=Off

控制POST请求的大小

作为请求的一部分，客户机（浏览器或用户）需要将数据发送到 Apache

Web 服务器时，比如上传文件或提交填好的表单时，就要用到 HTTP POST

请求方法。攻击者可能会企图发送过大的 POST 请求，大量消耗你的系统

资源。你可以限制 PHP 将处理的 POST 请求的最大大小。编辑 /etc/php.

d/security.ini，执行以下命令 ：

; 在此设置实际可行的值

post_max_size=1K

1K 设置了 php 应用程序允许的 POST 请求数据的最大大小。该设置还

影响文件上传。要上传大容量文件，这个值必须大于 upload_max_filesize。

我还建议你限制使用 Apache Web 服务器的可用方法。编辑 httpd.conf，执

行针对文件根目录 /var/www/html 的以下指令 ：

<Directory /var/www/html>

<LimitExcept GET POST>

Order allow,deny

</LimitExcept>

## 可在此添加配置的其余部分 ... ##

</Directory>

资源控制（拒绝服务控制）

你可以设置每个 php 脚本的最长执行时间，以秒为单位。另一个建议的

选项是设置每个脚本可能用于解析请求数据的最长时间，以及脚本可能耗

用的最大内存数量。编辑 /etc/php.d/security.ini，执行以下命令 ：

# 设置，以秒为单位

max_execution_time = 30

max_input_time = 30

memory_limit = 40M

为PHP安装Suhosin高级保护系统

Suhosin 是一款高级的保护系统，面向安装的 PHP。它旨在保护服务器和

用户，远离 PHP 应用程序和 PHP 核心中的已知缺陷和未知缺陷。Suhosin 分

两个独立部分，可以单独使用，也可以组合使用。第一个部分是针对 PHP 核

心的小补丁，实施了几个低级防护措施，以防范缓冲器溢出或格式字符串安

全漏洞 ；第二个部分是功能强大的 PHP 加载模块，实施了其他所有的保护措

施。

保持PHP、软件和操作系统版本最新

打安全补丁是维护Linux、Apache、PHP和MySQL服务器的一个重要环节。

应该使用以下其中任何一个工具（如果你通过软件包管理器来安装 PHP），

尽快检查所有的 PHP 安全更新版本，并尽快打上 ：

# yum update 或

# apt-get update && apt-get upgrade

你可以配置红帽 /CentOS/Fedora Linux，以便通过电子邮件发送 yum 软

件包更新通知。另一个选项是通过 cron job（计划任务）打上所有的安全

更新版。在 Debian/Ubuntu Linux 下，可以使用 apticron 来发送安全通知。

注 ：经常访问 php.net，寻找源代码安装的最新版本。

限制文件和目录访问

确保你以 Apache 或 www 等非根用户的身份来运行 Apache。所有文件

和目录都应该归非根用户（或 apache 用户）所有，放在 /var/www/html 下 ：

# chown -R apache:apache /var/www/html/

/var/www/html/ 是个子目录，这是其他用户可以修改的文件根目录，

因为根目录从来不在那里执行任何文件，也不会在那里创建文件。

确保在 /var/www/html/ 下，文件权限设成了 0444（只读）：

# chmod -R 0444 /var/www/html/

确保在 /var/www/html/ 下，所有目录权限设成了 0445 ：

# find /var/www/html/ -type d -print0 | xargs -0 -I {} chmod 0445 {}

关于设置合适文件权限的补充

chown 和 chmod 命令确保 ：不管在什么情况下，文件根目录或文件根目

录里面的文件都可以被 Web 服务器用户 apache 写入。请注意 ：你需要设

置对你网站的开发模型最合理的权限，所以可以根据自身需要，随意调整

chown 和 chmod 命令。在这个示例中，Apache 服务器以 apache 用户的身

份来运行。这可以在你的 httpd.conf 文件中用 User 和 Group 命令来配置。

apache 用户需要对文件根目录下的所有内容享有读取访问权，但是不应该

享有写入访问权。

确保 httpd.conf 有以下命令，实现限制性配置 ：

<Directory / >

Options None

AllowOverride None

Order allow,deny

</Directory>

由于篇幅所限，本文仅节选了 25 条最佳实践当中的 9 条。完整内容见

原文 ：

25 PHP Security Best Practices For Sys Admins

译文 ：http://os.51cto.com/art/201111/305014.htmv