php安全配置详细说明(1/2)

(1) 打开php教程的安全模式
　　php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，
　　同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd，
　　但是默认的php.ini是没有打开安全模式的，我们把它打开：
　　safe_mode = on

(2) 用户组安全
　　当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同
　　组的用户也能够对文件进行访问。
　　建议设置为：
　　safe_mode_gid = off
　　如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要
　　对文件进行操作的时候。

(3) 安全模式下执行程序主目录
　　如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录：
　　safe_mode_exec_dir = d:/usr/bin
　　一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，
　　然后把需要执行的程序拷贝过去，比如：

　　safe_mode_exec_dir = d:/tmp/cmd

　　但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：

　　safe_mode_exec_dir = d:/usr/www

 

 

当要在防止页面攻击时，可在页面的头部include防攻击文件，就像通用防注入文件。我们可以用三种情况来办到：
1、在每个文件内引用。这样的文件是可以，不过如果一个网站内有几百个文件的话就不方便了。
2、在共同包含文件内引用一下，比如 config.inc.php教程。这是一个好办法，也是目前市场上比较流行的做法。
3、在php.ini中引用。在配置文件内引用的话，将影响到所有的网站，包含所有页面，这就像当年流行的一些免费空间商，当你免费开通一个ftp空间，上传网站以后，空间内会出现广告一样。不知道是不是这种方法，但是目的是一样的。这样做的好处是：如果是一个公司或者是一个企业内部网站的话，即安全，维护也方便。

前两种方法大家都清楚，第三种就是在php.ini中，找到此节：

;automatically add files before or after any php document.
;auto_prepend_file = "phpids.php"
;auto_append_file = "alert.php"

默认是空，请添加所包含的文件。
同时找到：

 

;unix: "/path1:/path2"
;include_path = ".:/php/includes"
;
;windows: "path1;path2"
include_path = ".;f:phpnowhtdocs"

　　因为我的是win环境，所以开启了windows选项，包含路径可自由修改。同时，这样的功能也为我们攻击也造成了方便，比如挂马。现在“市场”上也有很多的挂马技巧，就不多说了。我们可以利用auto_prepend_file选项，来批量挂马了，可以将整个服务器上的网站挂上，优点为：不影响速度、不修改文件、方法新颖。 缺点为：必须对php.ini有写权限。

//把一些预定义的字符转换为 HTML 实体 以及在预定义字符前加上反斜杠，包括 单引号、双引号、反斜杠、NULL，以保护数据库安全

function d_htmlspecialchars($string) {
if(is_array($string)) {
foreach($string as $key => $val) {
$string[$key] = d_htmlspecialchars($val);
}
} else {
$string = str_replace('&', '&', $string);
$string = str_replace('"', '"', $string);
$string = str_replace(''', ''', $string);
$string = str_replace('<', '<', $string);
$string = str_replace('>', '>', $string);
$string = preg_replace('/&(#d;)/', '&1', $string);
}
return $string;
}

//

function d_addslashes($string, $force = 0) {
if(!$globals['magic_quotes_gpc'] || $force) {
if(is_array($string)) {
foreach($string as $key => $val) $string[$key] = d_addslashes($val, $force);
}
else $string = addslashes($string);
}
return $string;
}

我们提供了三个函数不来过滤一些特殊的字符，主要是利用php把sql敏感字符串给过滤掉了，好了下面来看看这款代码吧。有需要的朋友拿去看看。

function phps教程ql_show($str){
 $str = stripslashes($str);
 $str = str_replace("&#92;", "", $str);
 $str = str_replace("&#47;", "/", $str);
 $str = str_replace("&#32;", " ", $str);
 $str = str_replace("&#44;", ",", $str);
 return $str;
}
function phpsql_post($str){
 $str = stripslashes($str);
 $str = str_replace("|", "&#124;", $str);
 $str = str_replace("<", "&#60;", $str);
 $str = str_replace(">", "&#62;", $str);
 $str = str_replace("&nbsp;", "&#32;", $str);
 $str = str_replace(" ", "&#32;", $str);
 $str = str_replace("(", "&#40;", $str);
 $str = str_replace(")", "&#41;", $str);
 $str = str_replace("`", "&#96;", $str);
 //$str = str_replace("'", "&#39;", $str);
 $str = str_replace('"', "&#34;", $str);
 $str = str_replace(",", "&#44;", $str);
 $str = str_replace("$", "&#36;", $str);
 $str = str_replace("", "&#92;", $str);
 $str = str_replace("/", "&#47;", $str);
 return $str;
}
function phpsql_replace($str){
 $str = stripslashes($str);
 $str = str_replace("'", "&#39;", $str);
 return $str;
}

function d_htmlspecialchars($string) {
 if(is_array($string)) {
  foreach($string as $key => $val) {
   $string[$key] = d_htmlspecialchars($val);
  }
 } else {
  $string = str_replace('&', '&amp;', $string);
  $string = str_replace('"', '&quot;', $string);
  $string = str_replace(''', '&#039;', $string);
  $string = str_replace('<', '&lt;', $string);
  $string = str_replace('>', '&gt;', $string);
  $string = preg_replace('/&amp;(#d;)/', '&1', $string);
 }
 return $string;
}