PHP配置禁用一些危险函数

作为初级站长,默认PHP相关配置显得尤为重要,不规范的配置很容易泄漏,让攻击者顺藤摸瓜、有机可乘,如SQL注入、远程包含等,今天,郭大侠简单地讲如何把一些用不上的函数给禁用掉。

disable_functions=popen,passthru,exec,system,chroot,chgrp,chown,shell_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,putenv,phpinfo,show_source,gzinflate,proc_open,proc_get_status,pfsockopen,stream_socket_server,fsocket

其中一个是exec、shell_exec、system、passthru都是执行命令的程序,如果不是业务上的需要,建议禁用它们,这对网站安全是非常重要的。

phpinfo是用来输出PHP环境及相关模块等信息,网站开发期间可以测试模块开启或统计状态。一般网站全部完成后转换为生产环境,这个函数就可以禁用了。

本文由永州学策发表,其版权均为永州学策所有,文章内容系作者个人观点,不代表永州学策对观点赞同或支持。如需转载,请注明文章来源。如有侵权,请联系本站立即删除!
永州学策 » PHP配置禁用一些危险函数

发表评论

提供最优质的资源集合

立即查看 了解详情