请问要做到安全地运行php,需要修改php.ini中的哪些参数呢?
我用的是windows下的php5.2.17非线程安全版本。由于我的服务器用途是在IIS7下运行PHP网站,安全指的就是只允许让PHP运行网站需要的操作,不允许执行程序、读系统注册表、查看服务器信息等操作。
如果要做到安全地设置好PHP运行环境,php.ini文件要以php.ini-dist和php.ini-recommended中的哪个做为模板呢?
除此之外,php.ini文件中还有哪些参数需要修改呢,比如disable_functions中要禁止掉哪些不安全的函数,magic_quotes_gpc参数要不要设置成On等。
另外网上说php.ini-dist适合开发环境,php.ini-recommended适合生产环境,后者安全性更高。
但我对比了两个文件的默认设置,只有几处参数有区别啊,而且其中的参数很多也与安全性或性能无关,都是关于调试的。
另外讲到安全性,dist的文件中magic_quotes_gpc是开的,recommended文件中的magic_quotes_gpc反而是关着的,这个参数不是开了以后可以起到防注入的效果吗? apache也有安全要搞的
页:
[1]