标签:spl 指定 from leak 定义 function 符号 搜索引擎 over
一:apache限制某个目录禁止解析php某个目录下禁止解析 php,这个很有用,我们做网站安全的时候,这个用的很多,比如
某些目录可以上传文件,为了避免上传的文件有×××,所以我们禁止这个目录下面的访问解
析php。
<Directory /data/www/data>
php_admin_flag engine off
<filesmatch "(.*)php">
Order deny,allow
Deny from all
</filesmatch>
</Directory>
说明:php_admin_flag engine off这个语句就是禁止解析 php的控制语句,但只这样配
置还不够,因为这样配置后用户依然可以访问php文件,只不过不解析了,但可以下载,用
户下载php文件也是不合适的,所以有必要再禁止一下。
配置如下:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^Firefox/4.0 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Tomato Bot/1.0 [NC]
RewriteRule . - [F]
</IfModule>
同样是使用rewrite 模块来实现限制指定user_agent,在本例中, RewriteRule . - [F] 可
以直接禁止访问,rewritecond用user_agent来匹配,Firefox/4.0 表示,只要 user_agent中
含有Firefox/4.0就符合条件,其中表示任意字符,NC 表示不区分大小写,OR 表示或者,
连接下一个条件。假如我现在要把百度的搜索引擎限制掉,可以加一条这样的规则:
RewriteCond %{HTTP_USER_AGENT} ^Baiduspider/2.0 [NC]
RewriteRule . - [F]
既然有了或者OR,那有没有并且呢?你只要不写OR 就是并且的意思
在前面,我们已经拷贝了一个 php.ini文件到/usr/local/php/etc/目录下面,这是我们已经
知道php.ini所在路径在哪里,但有时候我们并不知道 php.ini所在路径,这时候就需要通过
命令来查一查在哪里。
#/usr/local/php/bin/php -i |head
看那一行Loaded Configuration File -> /usr/local/php/etc/php.ini。如果这里为None,那么
就说明没有加载到具体的php.ini。找到 php.ini后,用 vim打开它,发现很多行都是以;开头
的,这个符号在php.ini中作为注释符号,也就是说只要是以;开头的行都是不起作用的。而
php.ini中常用的配置有如下:
(1) 配置 disable_function
disable_functions =
eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chg
rp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsock
open,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,p
roc_close
说明,在php中有非常多的函数,在这些函数中有一些是不×××全的,所以有必要把它
们禁v 0掉、。像exec,shell_exec都是在php代码中执行 linux shell命令,很危险,要禁掉。
(2)配置error_log
如果你是php开发人员,那我相信你会经常遇到调试代码的情况,作为一个运维人员我
们理应学会简单的php 错误排查技能,其实php的错误跟 linux下其他服务都是一样的,遇
到错误后要查看错误日志,根据报错信息来判断错误的原因。那如何查看php的错误信息呢?
遇到错误时,我们访问网站通常会显示白页,什么都没有,状态码是500。第一种情况,可
以直接把错误信息显示在浏览器中,配置方法是,在 php.ini中找到display_error=on,重启
apache服务后,刷新网页,发现不再是白页,而是具体的错误。这样我们就可以根据错误来
调试php代码了。这种情况适合临时调试,但是这种情况不适合长期配置,因为所有错误都
会显示在浏览器上,假如哪天 php程序员不小心写错一段代码,而且没测试直接上传到服务
器上了,那么我们的用户就会直接看到这些错误,这样是不合适的。所以还有第二种情况,
把错误信息输出到一个日志文件中,具体配置如下:
#vim /usr/local/php/etc/php.ini 加入或者更改
display_error=off
log_errors=on
error_log=/usr/local/php/logs/error.log
说明:该文件一开始是不存在的,为了避免权限问题不能自动生成该文件,我们可以先
创建该文件,并且修改权限为 777
error_reporting = E_ALL | E_STRICT
说明: 首先要把错误不再浏览器显示,第二打开错误日志开关,然后指定错误日志的
路径,最后是定义错误日志的级别。配置完成后记得要重启 apache服务,才会生效。
php的错误日志级别 error_report
; E_ALL 所有错误和警告(除E_STRICT外)
; E_ERROR 致命的错误。脚本的执行被暂停。
; E_RECOVERABLE_ERROR 大多数的致命错误。
; E_WARNING 非致命的运行时错误,只是警告,脚本的执行不会停止。
; E_PARSE 编译时解析错误,解析错误应该只由分析器生成。
; E_NOTICE 脚本运行时产生的提醒(往往是我们写的脚本里面的一些bug,比如某个变量没有定义),这个错误不会导致任务中断。
; E_STRICT 脚本运行时产生的提醒信息,会包含一些php抛出的让我们要如何修改的建议信息。
; E_CORE_ERROR 在php启动后发生的致命性错误
; E_CORE_WARNING 在php启动后发生的非致命性错误,也就是警告信息
; E_COMPILE_ERROR php编译时产生的致命性错误
; E_COMPILE_WARNING php编译时产生的警告信息
; E_USER_ERROR 用户生成的错误
; E_USER_WARNING 用户生成的警告
; E_USER_NOTICE 用户生成的提醒
(3)配置open_basedir
在 php中是有这个 open_basedir概念的,它的意思是,把执行php的用户限定在指定的
路径下,这样通过权限缩小的方式达到安全目的。作为一个网站,其实我们只需要让 php
用户访问到网站的代码即可,没有必要让它去访问其他目录。那如何配置呢?
#vim /usr/local/php/etc/php.ini 加入或者更改
open_basedir = /dir1/:/dir2
说明:/dir1和/dir2 为我们允许php可以访问的两个目录,同样也可以是多个,目录之
间用:分隔。一旦限定后,如果 php试图去访问除/dir1 和/dir2外的目录下的文件时,就会报
错了。错误类似于, Warning: file_exists() [function.file-exists]: open_basedir restriction in effect.
File(../123.php) is not within the allowed path(s):
除了在php.ini中定义 open_basedir外,其实我们还可以在 apache的配置文件中定义,
因为一个apache下可能有多个站点,我们要针对不同的站点限定不同的 open_basedir,配置
如下。
#vim httpd.conf 或者虚拟主机配置文件,加入
php_admin_value open_basedir "/dir1/:/dir2/"
php.ini详解 http://legolas.blog.51cto.com/2682485/493917
apache限制某个目录禁止解析php、apache禁止指定user_agent、php相关配置
标签:spl 指定 from leak 定义 function 符号 搜索引擎 over
原文地址:http://blog.51cto.com/10941098/2155914
