PHP加固

disable_functions

這個配置我們需要修改的文件是php.ini

禁用了這個函數

沒禁用phpinfo這個函數

重啟Apache，是剛才的函數生效

可以看到以及無法訪問了

Php里面有很多函數可以執行系統命令，這樣的函數有system,exec,exec_shell（執行系統命令的函數）假設php環境里面有使用這樣的函數，就可以直接對操作系統執行命令。比如添加用戶，執行操作系統權限等操作。如果這些函數使用上有了問題，安攻擊者可以控制函數對命令的操作，這樣的話就能達到對操作系統的攻擊。

剛才我們通過函數禁用的配置，就可以把這些有敏感操作的函數都禁用了，這樣的話就能加強我們對php的安全。

open_basedir

basedir就是基準目錄，能打開的基準目錄，我們是可以進行配置的，在沒有進行這個配置之前，我們看看有沒有作用。我們可以看到，我們已經跳出了web目錄，而讀到了/etc下的password文件

我們現在來配置一下，配置的原則是，必須要有根目錄

重啟Apache，我們再來訪問

發現已經訪問不了，它的動作已經被禁止在/var/www和/tmp目錄下

safe_mode

安全模式，和我們剛才禁用效果差不多，只是它內置已經禁用了很多函數。safe_mode可以打開為on，但因為它禁用的函數比較多，可能會影響我們程序的正常運行，所以一般情況下不建議打開安全模式。