Php.ini
Php.ini |
Php.ini這個文件必須命名為'php.ini'並放置在httpd.conf中的PHPIniDir指令指定的目錄中,使用phpinfo()函數可以查看。如果未作修改,windows平台下一般放在php安裝目錄中。
目錄
簡介
所有的PHP源碼網站都必須配置環境,不論是使用集成環境還是自己手動搭建,可能很少有人關注過php.ini裡面配置的這些東西到底有什麼作用,很多站長在設置php.ini文件時,都是網上找一個教程,然後人家說哪裡增加哪裡刪除按步驟進行,但是這裡面的設置還真有兩處會引起網站安全問題有人會說就一個php.ini文件怎麼可能會有安全問題呢,難不成hiker會攻擊的我php.ini文件不成?這倒不是啦,而是運行方式會給hiker提供一個窗口,請看下面的配置步驟說明。以windows系統上安裝PHP為例,所有版本的php.ini文件的設置幾乎都是一樣的,先去官方網站下載需要的PHP版本,然後解壓縮並重命名。假設安裝php7.4,安裝在服務器的D盤根目錄:下載Non-Thread Safe (NTS) 版本的PHP程序,然後解壓縮,並重命名為「php」文件夾,將其拷貝到D盤根目錄下面。
評價
搜索;cgi.force_redirect = 1,把前面的分號去掉,並把數字1改為0。cgi.force_redirect = 0的意思就是關閉重定向執行php文件,出於安全考慮防止別人上傳木馬執行如:你的網站url/as=你的網站url/sdf/muma.php,這樣的重定向PHP文件是可執行的,將這個配置改為0之後這類型的重定向PHP文件就不會執行了查找代碼;cgi.fix_pathinfo=1將分號去掉並將數字1改為0。作用是禁止解析非法php文件,如/a.jpg/1.php這樣的圖片下的一個php文件屬於非法的,設置為0就是禁止執行。這種將木馬偽裝成圖片上傳的文件存在已久,禁止這類文件運行,即使被上傳了木馬,由於設置了不允許運行,所以沒有用。[1]