很多站长朋友们都不太清楚php安全模式,今天小编就来给大家整理php安全模式,希望对各位有所帮助,具体内容如下:
本文目录一览: 1、 php.ini怎样关闭安全模式 2、 php如何防止sql注入 3、 什么是PHP系统外部命令 4、 如何关闭php安全模式? 5、 PHP中的安全模式是指的什么? 6、 php如何关闭安全模式 php.ini怎样关闭安全模式1.打开PHP的安全模式 2.用户组安全 3.安全模式下执行程序主目录 4.安全模式下包含文件 5.控制PHP脚本能访问的目录 6.关闭危险函数 7.关闭PHP版本信息在http头中的泄漏 8.关闭注册全局变量 9.打开magic_quotes_gpc来防止SQL注入 10.错误信息控制 11.错误日志。
php如何防止sql注入PHP防止sql注入是一个比较低级的问题了,这个问题其实在我大一上学期做第一个个人博客的时候就已经关注过了,不过简单的说一下关于PHP防注入的方式吧。
使用PDO防注入。
这是最简单直接的一种方式,当然低版本的PHP一般不支持PDO方式去操作,那么就只能采用其它方式。
采用escape函数过滤非法字符。
escape可以将非法字符比如 斜杠等非法字符转义,防止sql注入,这种方式简单粗暴,但是不太建议这么用。
自己手写过滤函数,手写一个php sql非法参数过滤函数来说还是比较简单的,但是你的函数需要非常的健壮,不让仍然有可能被非法黑客攻击;你的Coding水平直接决定了你的函数的健壮性。
各种框架里面其实都有对于非法字符过滤的支持,最简单的比如ThinkPHP,你可以直接防止注入。
写一个PHP扩展对于进入参数进行有选择的过滤。 开发一个PHP扩展是对于一个PHP高级程序员必备的技能,将你需要的功能打包在PHP扩展里面,就像黑词过滤一样进行检查,是非常方便的。一般都是用在自己写框架路由器转发的时候,如果你用扩展实现框架的路由器转发的话,可以顺便将参数过滤加入到PHP扩展里面,通过C去实现。
对于现在的防注入技术其实已经成熟了,对于一个站点该关心的不是防注入了,而是大规模高并发如何处理的问题,或者关于各种其他漏洞,比如现在世界上仍然有百分之80使用redis的站点存在redis漏洞,通过redis漏洞可以直接拿到机器的访问权限,一般来说都是直接给你种一个挖矿机器人来。
什么是PHP系统外部命令PHP作为一种服务器端的脚本语言,象编写简单,或者是复杂的动态网页这样的任务,它完全能够胜任。但事情不总是如此,有时为了实现某个功能,必须借助于操作系统的外部程序(或者称之为命令),这样可以做到事半功倍。
那么,是否可以在PHP脚本中调用外部命令呢?如果能,如何去做呢?有些什么方面的顾虑呢?相信你看了本文后,肯定能够回答这些问题了。
是否可以?
答案是肯定的。PHP和其它的程序设计语言一样,完全可以在程序内调用外部命令,并且是很简单的:只要用一个或几个函数即可。
前提条件
由于PHP基本是用于WEB程序开发的,所以安全性成了人们考虑的一个重要方面。于是PHP的设计者们给PHP加了一个门:安全模式。如果运行在安全模式下,那么PHP脚本中将受到如下四个方面的限制:
执行外部命令
在打开文件时有些限制
连接MySQL数据库
基于HTTP的认证
在安全模式下,只有在特定目录中的外部程序才可以被执行,对其它程序的调用将被拒绝。这个目录可以在php.ini文件中用safe_mode_exec_dir指令,或在编译PHP是加上--with-exec-dir选项来指定,默认是/usr/local/php/bin。
如果你调用一个应该可以输出结果的外部命令(意思是PHP脚本没有错误),得到的却是一片空白,那么很可能你的网管已经把PHP运行在安全模式下了。
如何做?
在PHP中调用外部命令,可以用如下三种方法来实现:
1)
用PHP提供的专门函数
PHP提供共了3个专门的执行外部命令的函数:system(),exec(),passthru()。
system()
原型:string
system (string command [, int return_var])
system()函数很其它语言中的差不多,它执行给定的命令,输出和返回结果。第二个参数是可选的,用来得到命令执行后的状态码。
例子:
<?
system("/usr/local/bin/webalizer/webalizer");
?>
exec()
原型:string
exec (string command [, string array [, int return_var]])
exec()函数与system()类似,也执行给定的命令,但不输出结果,而是返回结果的最后一行。虽然它只返回命令结果的最后一行,但用第二个参数array可以得到完整的结果,方法是把结果逐行追加到array的结尾处。所以如果array不是空的,在调用之前最好用unset()最它清掉。只有指定了第二个参数时,才可以用第三个参数,用来取得命令执行的状态码。
如何关闭php安全模式?php安全模式:safe_mode=on|off
启用safe_mode指令将对在共享环境中使用PHP时可能有危险的语言特性有所限制。可以
将safe_mode是指为布尔值on来启用,或者设置为
off禁用。它会比较执行脚本UID(用户ID)和脚本尝试访问的文件的UID,以此作为限制机制的基础。如果UID相同,则执行脚本;否则,脚本失败。
具体地,当启用安全模式时,一些限制将生效。
1、
所有输入输出函数(例如fopen()、file()和require())的适用会受到限制,只能用于与调用这些函数的脚本有相同拥有者的文件。例如,
假定启用了安全模式,如果Mary拥有的脚本调用fopen(),尝试打开由Jonhn拥有的一个文件,则将失败。但是,如果Mary不仅拥有调用
fopen()的脚本,还拥有fopen()所调用的文件,就会成功。
2、如果试图通过函数popen()、system()或exec()等执行脚本,只有当脚本位于safe_mode_exec_dir配置指令指定的目录才可能。
3、HTTP验证得到进一步加强,因为验证脚本用于者的UID划入验证领域范围内。此外,当启用安全模式时,不会设置PHP_AUTH。
4、如果适用MySQL数据库服务器,链接MySQL服务器所用的用户名必须与调用mysql_connect()的文件拥有者用户名相同。
PHP中的安全模式是指的什么?手册如是说: 章 24. 安全模式目录 被安全模式限制或屏蔽的函数 php 的安全模式是为了试图解决共享服务器(shared-server)安全问题而设立的。在结构上,试图在 php 层上解决这个问题是不合理的,但修改 web 服务器层和操作系统层显得非常不现实。因此许多人,非凡是 isp,目前使用安全模式。 表格 24-1. 控制安全模式的设置选项有: 设置选项 默认值 safe_mode off safe_mode_gid 0 safe_mode_include_dir safe_mode_exec_dir 1 open_basedir safe_mode_allowed_env_vars php_ safe_mode_protected_env_vars ld_library_path disable_functions 当 safe_mode 设置为 on,php 将检查当前脚本的拥有者是否和将被文件函数操作的文件的拥有者相匹配。例如: -rw-rw-r-- 1 rasmus rasmus 33 jul 1 19:20 script.php -rw-r--r-- 1 root root 1116 may 26 18:01 /etc/passwd 运行 script.php <?php 假如安全模式被激活,则将会导致以下错误: warning: safe mode restriction in effect. the script whose uid is 500 is not allowed to access /etc/passwd owned by uid 0 in /docroot/script.php on line 2 同时,或许会存在这样的环境,在该环境下,宽松的 gid 检查已经足够,但严格的 uid 检查反而是不适合的。您可以用 safe_mode_gid 选项来控制这种检查。假如设置为 on 则进行宽松的 gid 检查;设置为 off(默认值)则进行 uid 检查。 除了 safe_mode 以外,假如您设置了 open_basedir 选项,则所有的文件操作将被限制在您指定的目录下。例如: <directory /docroot php_admin_value open_basedir /docroot </directory 假如您在设置了 open_basedir 选项后运行同样的 script.php,则其结果会是: warning: open_basedir restriction in effect. file is in wrong directory in /docroot/script.php on line 2 您也可以单独地屏蔽某些函数。
php如何关闭安全模式编辑php.ini文件,查找safe_mode,如果看到safe_mode = On
则改成
safe_mode = Off
保存,重启apache就ok了
关于php安全模式的介绍到此就结束了,不知道本篇文章是否对您有帮助呢?如果你还想了解更多此类信息,记得收藏关注本站,我们会不定期更新哦。