Heim > Backend-Entwicklung > PHP-Tutorial > Es gibt drei falsche Einstellungen in der php.ini-Konfiguration, die Sicherheitsprobleme für die Website verursachen.

Es gibt drei falsche Einstellungen in der php.ini-Konfiguration, die Sicherheitsprobleme für die Website verursachen.

藏色散人
Freigeben: 2023-04-08 13:28:01
nach vorne
2522 Leute haben es durchsucht

Alle PHP-Quellcode-Websites müssen die Umgebung konfigurieren, unabhängig davon, ob sie eine integrierte Umgebung verwenden oder diese manuell erstellen. Viele Webmaster richten die php.ini ein Wenn ich Dateien erstelle, finde ich online immer ein Tutorial, in dem mir dann erklärt wird, welche Schritte ich hinzufügen und löschen muss, aber eigentlich gibt es hier zwei Einstellungen, die zu Problemen mit der Website-Sicherheit führen können. php.ini

Es gibt drei falsche Einstellungen in der php.ini-Konfiguration, die Sicherheitsprobleme für die Website verursachen.

Einige Leute werden sagen, wie kann eine

-Datei Sicherheitsprobleme haben? Ist es möglich, dass Hiker meine php.ini-Datei angreift? php.ini

Das stimmt nicht, aber der Laufmodus bietet dem Wanderer ein Fenster. Bitte beachten Sie die Konfigurationsschritte unten.

Nehmen Sie als Beispiel die Installation von

auf dem windows-System. Die Einstellungen aller Versionen der PHP-Datei sind nahezu gleich. Gehen Sie zunächst auf die offizielle Website, um das erforderliche PHP herunterzuladen Version herunterladen, dann entpacken und umbenennen. php.ini

Installation vorausgesetzt

, installieren Sie es im Stammverzeichnis des Laufwerks D des Servers: Laden Sie die Non-Thread Safe (NTS)-Version des PHP-Programms herunter, entpacken Sie es und benennen Sie es in „php“ um. Ordner und kopieren Sie ihn. Gehen Sie in das Stammverzeichnis von Laufwerk D. php7.4

Öffnen Sie die Datei

unter D:php, erstellen Sie eine Kopie und benennen Sie sie in php.ini-development um. Öffnen Sie die Datei php.ini. Nachfolgend finden Sie den vollständigen Konfigurationsprozess. D:phpphp.ini

Es gibt drei falsche Einstellungen in der php.ini-Konfiguration, die Sicherheitsprobleme für die Website verursachen.

1. Ändern Sie

in short_open_tag = Off

short_open_tag = On
Nach dem Login kopieren

. Die Auswirkung dieser Änderung besteht darin, dass einige Website-Vorlagendateien wie Diese Art von PHP-Code kann sicherstellen, dass der Code normal ausgeführt werden kann. Diese Art von Code ist auch in Vorlagen wie ecshop, dedecms und WordPress üblich.

2. Ändern Sie

in expose_php = On

expose_php = Off
Nach dem Login kopieren

. Aus Gründen der Website-Sicherheit ist es verboten, die PHP-Versionsnummer anzuzeigen, um zu verhindern, dass andere die Website wegen bestimmter PHP-Versionsschwachstellen angreifen. Wenn Sie bei einigen Websites Webmaster-Tools verwenden, ist auf einen Blick klar, welchen Webserver sie verwenden und um welche PHP-Version es sich handelt. Natürlich wissen Wanderer über bestimmte Schwachstellen in PHP-Versionen Bescheid, obwohl sie die Versionsnummer nicht verbergen können Um das Problem zu lösen, wird es den Schwierigkeitsgrad der Wanderung erhöhen.

3. Suchen Sie den folgenden Code

; On windows:
; extension_dir = "ext"
Nach dem Login kopieren

Entfernen Sie hier das Semikolon vor extension_dir und ändern Sie ext in den Installationspfad von PHP, wie unten gezeigt. Achten Sie darauf, die Schrägstriche nicht rückwärts zu schreiben, da ich PHP auf Laufwerk D installiert habe.

extension_dir = "D:\php\ext"
Nach dem Login kopieren

4. Suchen Sie

und ändern Sie die Nummer max_execution_time = 30 in 30 oder 300. Die Funktion gibt die maximale Zeit für die Ausführung jedes Skripts an. Der Standardwert beträgt 30 Sekunden. Dadurch wird das Problem gelöst, dass die Verbindung aufgrund der Netzwerkgeschwindigkeit und der Serveradresse (z. B. bei fremden Hosts) immer abbrechen kann. 1200

5. Suchen Sie nach

, entfernen Sie das Semikolon davor und ändern Sie die Zahl ;cgi.force_redirect = 1 in 1. 0 bedeutet, die Umleitung zur Ausführung der PHP-Datei zu schließen. Aus Sicherheitsgründen wird verhindert, dass andere Trojaner zur Ausführung hochladen, z. B.: Ihre Website-URL/as = Ihre Website cgi.force_redirect = 0 Eine solche Umleitungs-PHP-Datei ist ausführbar Wird diese Konfiguration auf 0 geändert, wird diese Art von umgeleiteter PHP-Datei nicht ausgeführt. url/sdf/muma.php

Dies ist auch der Grund, warum einige Websites nach dieser Änderung immer hängen bleiben, auch wenn im Frontdesk der Website eine Sicherheitslücke besteht und die Trojaner-Datei vom Wanderer hochgeladen wird nicht auf diese Weise ausgeführt werden, daher hat es keinen Nutzen.

6. Suchen Sie den Code

, entfernen Sie das Semikolon und ändern Sie die Zahl ;cgi.fix_pathinfo=1 in 1. Die Funktion besteht darin, das Parsen illegaler PHP-Dateien wie 0 zu verhindern. Wenn Sie den Wert auf 0 setzen, wird die Ausführung deaktiviert. Diese Art von Datei, die ein als Bild getarntes Trojanisches Pferd hochlädt, gibt es schon seit langem. Es ist verboten, solche Dateien auszuführen. Selbst wenn ein Trojanisches Pferd hochgeladen wird, ist es nutzlos, weil es nicht ausgeführt werden darf. /a.jpg/1.php

7. Finden Sie den Code

Entfernen Sie das Semikolon davor. Die Funktion besteht darin, dass fastcgi.impersonate = 1 oder iis die Methode nginx zum Parsen von PHP-Dateien verwendet. Wenn diese nicht aktiviert ist, muss das PHP-Programm nicht aktiviert werden. fastcgi

8. Suchen Sie nach

, entfernen Sie das Semikolon und ändern Sie cgi.rfc2616_headers = 0 in 0. Es bedeutet, PHP mitzuteilen, welche Art von Header verwendet werden soll. Wie dieses hier: 1. HTTP/1.1

9. Suchen Sie nach

, löschen Sie das vorangehende Semikolon und fügen Sie den Pfad wie folgt hinzu: upload_tmp_dir =

upload_tmp_dir = D:\php\temp
Nach dem Login kopieren

bedeutet das temporäre Verzeichnis zum Hochladen von Dateien, bei dem es sich um ein temporäres virtuelles Verzeichnis handelt, das zum Speichern von Dateien verwendet wird Es werden jedoch keine Dateien auf die Website hochgeladen.

10. Suchen Sie nach den folgenden Codes, jeweils einen pro Zeile, und entfernen Sie das Semikolon davor (das Semikolon stellt einen Kommentar dar, was bedeutet, dass er nicht wirksam wird. Er wird wirksam, wenn Sie ihn entfernen ):

extension=bz2
extension=curl
extension=gd2
extension=gmp
extension=mbstring
extension=php_mysql.dll
extension=mysqli
extension=pdo_mysql
Nach dem Login kopieren

11. Suchen Sie

Entfernen Sie das Semikolon und ändern Sie es wie folgt: date.timezone =

date.timezone = Asia/Shanghai
Nach dem Login kopieren

注意大小写,意思是格式化时间,默认使用北京时间(东8区),这样可以使服务器时间和程序的时间一致,否则可能你发文章显示的时时间会和实际时间不一样,如果不设置时间可能会相差8小时,也可以设置为date.timezone = PRC ,设置时区为中国时区,PRC是中国时区的简称。

以上就是完整的php.ini文件配置,真的有3处设置和网站的安全有关系,由于这个文件一般只会设置一次,之后都不会去更改,所以有的问题也不容易被发现。

本文来自:https://baijiahao.baidu.com/s?id=1660324056472707757&wfr=spider&for=pc

相关推荐:

PHP视频教程://m.sbmmt.com/course/list/29/type/2.html    

Das obige ist der detaillierte Inhalt vonEs gibt drei falsche Einstellungen in der php.ini-Konfiguration, die Sicherheitsprobleme für die Website verursachen.. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:百家号:陆柏熺
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage