系统管理员必须知道的PHP安全实践

Apache web 服务器提供了这种便利 ：通过 HTTP 或 HTTPS 协议，访问文
件和内容。配置不当的服务器端脚本语言会带来各种各样的问题。所以，
使用 PHP 时要小心。以下是 25 个 PHP 安全方面的最佳实践，可供系统管理
员们安全地配置 PHP。
为 PHP 安全提示而提供的示例环境
◆文件根目录（DocumentRoot）：/var/www/html
◆ 默 认 的 Web 服 务 器 ：Apache（可 以 使 用 Lighttpd 或 Nginx 来 取 代
Apache）
◆默认的 PHP 配置文件 ：/etc/php.ini
◆默认的 PHP 加载模块配置目录 ：/etc/php.d/
◆我们的示例 php 安全配置文件 ：/etc/php.d/security.ini（需要使用文
本编辑器来创建该文件）
◆ 操 作 系 统 ：RHEL/CentOS/Fedora Linux（相 关 指 令 应 该 与 Debian/
Ubuntu 等其他任何 Linux 发行版或者 OpenBSD/FreeBSD/HP-UX 等其他类
似 Unix 的操作系统兼容）。
◆默认的 php 服务器 TCP/UDP 端口 ：无
将所有PHP错误记入日志
别让 PHP 错误信息暴露在网站的所有访客面前。编辑 /etc/php.d/
security.ini，执行以下指令 ：
display_errors=Off
确保你将所有 PHP 错误记入到日志文件中 ：
log_errors=On
error_log=/var/log/httpd/php_scripts_error.log
不允许上传文件
出于安全原因，编辑 /etc/php.d/security.ini，执行以下命令 ：
file_uploads=Off
如果使用你应用程序的用户需要上传文件，只要设置 upload_max_
filesize，即可启用该功能，该设置限制了 PHP 允许通过上传的文件的最大
值 ：
file_uploads=On
# 用户通过 PHP 上传的文件最大 1MB
upload_max_filesize=1M
关闭远程代码执行
如 果 启 用，allow_url_fopen 允 许 PHP 的 文 件 函 数 —— 如 file_get_
contents()、include 语句和 require 语句——可以从远程地方（如 FTP 或网站）
获取数据。
allow_url_fopen 选项允许 PHP 的文件函数——如 file_get_contents()、
include 语句和 require 语句——可以使用 FTP 或 HTTP 协议，从远程地方
获取数据。编程员们常常忘了这一点，将用户提供的数据传送给这些函数
时，没有进行适当的输入过滤，因而给代码注入安全漏洞留下了隐患。基于
PHP 的 Web 应用程序中存在的众多代码注入安全漏洞是由启用 allow_url_
fopen 和糟糕的输入过滤共同引起的。编辑 /etc/php.d/security.ini，执行
以下指令 ：
allow_url_fopen=Off
出于安全原因，我还建议禁用 allow_url_include ：
allow_url_include=Off
启用SQL安全模式
编辑 /etc/php.d/security.ini，执行以下指令 ：
sql.safe_mode=On
如果启用，mysql_connect() 和 mysql_pconnect() 就忽视传送给它们的
任何变量。请注意 ：你可能得对自己的代码作一些更改。sql.safe_mode 启
用后，第三方开源应用程序（如 WorkdPress）及其他应用程序可能根本运行
不了。我还建议你针对所有安装的 php 5.3.x 关闭 magic_quotes_gpc，因
为它的过滤并不有效、不是很可靠。mysql_escape_string() 和自定义过滤
函数能起到更好的作用 ：
magic_quotes_gpc=Off
控制POST请求的大小
作为请求的一部分，客户机（浏览器或用户）需要将数据发送到 Apache
Web 服务器时，比如上传文件或提交填好的表单时，就要用到 HTTP POST
请求方法。攻击者可能会企图发送过大的 POST 请求，大量消耗你的系统
资源。你可以限制 PHP 将处理的 POST 请求的最大大小。编辑 /etc/php.
d/security.ini，执行以下命令 ：
; 在此设置实际可行的值
post_max_size=1K
1K 设置了 php 应用程序允许的 POST 请求数据的最大大小。该设置还
影响文件上传。要上传大容量文件，这个值必须大于 upload_max_filesize。
我还建议你限制使用 Apache Web 服务器的可用方法。编辑 httpd.conf，执
行针对文件根目录 /var/www/html 的以下指令 ：
<Directory /var/www/html>
<LimitExcept GET POST>
Order allow,deny
</LimitExcept>
## 可在此添加配置的其余部分 ... ##
</Directory>
资源控制（拒绝服务控制）
你可以设置每个 php 脚本的最长执行时间，以秒为单位。另一个建议的
选项是设置每个脚本可能用于解析请求数据的最长时间，以及脚本可能耗
用的最大内存数量。编辑 /etc/php.d/security.ini，执行以下命令 ：
# 设置，以秒为单位
max_execution_time = 30
max_input_time = 30
memory_limit = 40M
为PHP安装Suhosin高级保护系统
Suhosin 是一款高级的保护系统，面向安装的 PHP。它旨在保护服务器和
用户，远离 PHP 应用程序和 PHP 核心中的已知缺陷和未知缺陷。Suhosin 分
两个独立部分，可以单独使用，也可以组合使用。第一个部分是针对 PHP 核
心的小补丁，实施了几个低级防护措施，以防范缓冲器溢出或格式字符串安
全漏洞 ；第二个部分是功能强大的 PHP 加载模块，实施了其他所有的保护措
施。
保持PHP、软件和操作系统版本最新
打安全补丁是维护Linux、Apache、PHP和MySQL服务器的一个重要环节。
应该使用以下其中任何一个工具（如果你通过软件包管理器来安装 PHP），
尽快检查所有的 PHP 安全更新版本，并尽快打上 ：
# yum update 或
# apt-get update && apt-get upgrade
你可以配置红帽 /CentOS/Fedora Linux，以便通过电子邮件发送 yum 软
件包更新通知。另一个选项是通过 cron job（计划任务）打上所有的安全
更新版。在 Debian/Ubuntu Linux 下，可以使用 apticron 来发送安全通知。
注 ：经常访问 php.net，寻找源代码安装的最新版本。
限制文件和目录访问
确保你以 Apache 或 www 等非根用户的身份来运行 Apache。所有文件
和目录都应该归非根用户（或 apache 用户）所有，放在 /var/www/html 下 ：
# chown -R apache:apache /var/www/html/
/var/www/html/ 是个子目录，这是其他用户可以修改的文件根目录，
因为根目录从来不在那里执行任何文件，也不会在那里创建文件。
确保在 /var/www/html/ 下，文件权限设成了 0444（只读）：
# chmod -R 0444 /var/www/html/
确保在 /var/www/html/ 下，所有目录权限设成了 0445 ：
# find /var/www/html/ -type d -print0 | xargs -0 -I {} chmod 0445 {}
关于设置合适文件权限的补充
chown 和 chmod 命令确保 ：不管在什么情况下，文件根目录或文件根目
录里面的文件都可以被 Web 服务器用户 apache 写入。请注意 ：你需要设
置对你网站的开发模型最合理的权限，所以可以根据自身需要，随意调整
chown 和 chmod 命令。在这个示例中，Apache 服务器以 apache 用户的身
份来运行。这可以在你的 httpd.conf 文件中用 User 和 Group 命令来配置。
apache 用户需要对文件根目录下的所有内容享有读取访问权，但是不应该
享有写入访问权。
确保 httpd.conf 有以下命令，实现限制性配置 ：
<Directory / >
Options None
AllowOverride None
Order allow,deny
</Directory>
由于篇幅所限，本文仅节选了 25 条最佳实践当中的 9 条。完整内容见
原文 ：
25 PHP Security Best Practices For Sys Admins
译文 ：http://os.51cto.com/art/201111/305014.htmv