PHP安全配置详解：PHP.ini关键设置指南

今日不肯埋头，明日何以抬头！每日一句努力自己的话哈哈~哈喽，今天我将给大家带来一篇《PHP安全加固指南：PHP.ini关键配置详解》，主要内容是讲解等等，感兴趣的朋友可以收藏或者有更好的建议在评论提出，我都会认真看的！大家一起进步，一起学习！

答案：通过调整php.ini配置可提升PHP应用安全性。依次禁用危险函数如exec、system；关闭错误显示并记录日志；限制文件上传大小与权限；设置open_basedir目录访问控制；强化session安全选项，包括启用HttpOnly与Secure标志、严格模式及合理设置生命周期，最后重启服务生效。

如果您在部署PHP应用时发现存在潜在的安全风险，可能是由于默认配置未针对安全性进行优化。通过调整php.ini中的关键参数，可以有效降低被攻击的可能性。

本文运行环境：Dell XPS 13，Ubuntu 24.04

一、禁用危险函数

某些PHP内置函数可能被恶意利用来执行系统命令或读取敏感文件，限制这些函数的使用能显著提升脚本层的安全性。

1、打开php.ini配置文件，搜索disable_functions指令。

2、在该指令后添加需禁用的函数，多个函数间以逗号分隔。

3、建议禁用的函数包括：exec,system,passthru,shell_exec,proc_open,popen,eval,assert,symlink,link,escapeshellarg,escapeshellcmd。

4、保存并重启Web服务使更改生效。

二、关闭错误信息显示

生产环境中若将错误详情暴露给客户端，可能泄露路径结构或代码逻辑，应仅记录而不显示错误内容。

1、查找display_errors配置项，并将其值设为Off。

2、确保log_errors设置为On，以便将错误写入日志文件。

3、检查error_log路径是否指向安全且可写的位置，例如/var/log/php_errors.log。

4、修改完成后保存文件并重新加载PHP服务。

三、限制文件上传功能

不加控制的文件上传可能引发远程代码执行漏洞，必须对上传行为进行严格约束。

1、将file_uploads设为On仅当确实需要上传功能时。

2、设置upload_max_filesize为合理值，如2M，防止大文件耗尽资源。

3、调整post_max_size略大于上传限制，避免POST数据截断。

4、启用allow_url_fopen和allow_url_include为Off，阻止远程文件包含。

四、启用Open_basedir限制

通过设定脚本可访问的目录范围，防止跨目录访问敏感系统文件。

1、定位到open_basedir配置项。

2、为其指定一个或多个允许访问的根目录，例如：/var/www/html:/tmp。

3、注意路径分隔符在Linux下为冒号，在Windows下为分号。

4、确认所有涉及文件操作的脚本均位于许可路径内，否则将触发权限拒绝。

五、配置Session安全选项

会话数据若处理不当可能导致会话劫持或固定攻击，需强化其传输与存储机制。

1、设置session.cookie_httponly=1，防止JavaScript访问Cookie。

2、开启session.cookie_secure=1，确保Cookie仅通过HTTPS传输。

3、调整session.use_strict_mode=1，拒绝未知会话ID的初始化请求。

4、定期清理过期会话文件，可通过配置session.gc_maxlifetime控制生命周期。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~