PHPCLI权限限制技巧【安全】

大家好，我们又见面了啊~本文《PHP限制CLI解释器权限方法【安全】》的内容中将会涉及到等等。如果你正在学习文章相关知识，欢迎关注我，以后会给大家带来更多文章相关文章，希望我们能一起进步！下面就开始本文的正式内容~

PHP CLI 安全需三层防护：禁用危险函数（disable_functions）、以低权限用户运行、启用 open_basedir 限制；三者缺一不可，且须确认 CLI 模式下配置真实生效。

PHP CLI 进程不能随便用 exec、system 就完事

直接在 CLI 脚本里调用 exec 或 shell_exec，等同于把当前 PHP 进程的系统权限全交出去。如果脚本被注入（比如参数未过滤就拼进命令）、或运行在共享环境（如容器未隔离），后果可能是任意文件读写、反向 shell、横向渗透。限制不是“要不要做”，而是“必须在哪几层卡住”。

禁用危险函数比写白名单更可靠

靠代码自觉不调用危险函数不可信。最硬的防线是让这些函数根本不存在——通过 disable_functions 配置项。注意它只作用于当前 PHP 实例，对 CLI 模式同样生效，且优先级高于用户代码中的 function_exists 检查。

• disable_functions 必须写在 php.ini 或 CLI 专用配置（如 php-cli.ini）中，ini_set 在运行时无效
• 常见需禁用的函数：exec,passthru,shell_exec,system,proc_open,popen,pcntl_exec
• 禁用后调用会直接报 Warning: exec() has been disabled for security reasons，不会静默失败
• 如果依赖某些函数（如 curl_exec），不要一并禁用；但 pcntl_fork 这类进程控制函数，在纯任务脚本里通常也不该出现

CLI 脚本应以最小权限用户运行

即使函数没被禁用，只要 PHP 进程本身权限低，攻击面就大幅收窄。不要用 root 或高权限账号跑 php script.php，这是很多自动化部署脚本踩的坑。

• 创建专用低权限用户，例如 php-runner，仅赋予其对必要目录的读/写权限（如日志目录、临时上传路径）
• 用 sudo -u php-runner php script.php 启动，避免误用 sudo php script.php
• Docker 场景下，在 Dockerfile 中用 USER 指令切换非 root 用户，例如 USER 1001:1001
• 检查实际权限：运行 php -r "echo posix_getuid().':'.posix_getgid();"，确认 UID/GID 不是 0

别忽略 open_basedir 对 CLI 的约束力

很多人以为 open_basedir 只管 Web 请求，其实 CLI 模式下它一样生效——只要你在 php.ini 里配了，且没被运行时覆盖。它能防止脚本越界读取敏感文件（如 /etc/passwd、其他项目源码）。

• CLI 下启用方式和 Web 相同：open_basedir = /var/www/myapp:/tmp
• 路径末尾不加 / 会导致子目录不被包含，务必验证（例如 /var/www/myapp 不允许访问 /var/www/myapp/logs）
• 若脚本需访问多个不连续路径，用 : 分隔（Linux/macOS）或 ;（Windows）
• 配合 disable_functions 使用效果更强：就算有人绕过函数禁用，也读不到 /etc 下的文件

php -d open_basedir="/app:/tmp" -d disable_functions="exec,system,shell_exec" script.php

真正容易被忽略的是：CLI 模式下 php.ini 文件可能和 Web 模式不同（php --ini 查看加载路径），导致你以为禁用了函数，其实 CLI 根本没读那个配置。每次上线前，务必在目标环境中运行 php -m 和 php -i | grep -E "(disable_functions|open_basedir)" 确认生效。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《PHPCLI权限限制技巧【安全】》文章吧，也可关注golang学习网公众号了解相关技术文章。