参数以外常见的PHP优化方法手段
1)php引擎缓存加速优化
1 2 |
|
2) 使用tmpfs作为缓存加速缓存的文件目录
tmpfs,基于内存的文件系统,加快转存暂存文件的速度
1 2 |
|
3) 防止PHP程序上传文件到图片附件目录
| 1 | #Nginx防御 http://www.lichengbing.cn/archivers/279.html |
php.ini参数调优
php.ini配置文件
1 23 |
|
1) 打开php的安全模式
php安全模式是个非常重要的php内嵌的安全机制,能够控制一些php的函数执行,比如system()调用系统命令函数
| 1 | safe_mode = on |
2)用户组安全
| 1 | safe_mode_gid = off #防止php程序对脚本执行有权限 |
3)关闭危险函数
如果打开了安全模式,那么函数禁止是可以不需要的,但是我们为了安全还是可以关闭的,特别是phpinfo()
| 1 | disable_functions = system,passthru,exec,shell_exec,popen,phpinfo |
如果要禁止任何文件和目录的操作,那么可以关闭很多文件操作
| 1 | disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandie,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_getcontents,fputs,fwrite,chgrp,chmod,chown |
4)关闭PHP版本信息在http头中的泄漏
| 1 | expose_php = off |
5)关闭注册全局变量
在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问,这是对服务非常不安全的
1 2 |
|
6)打开magic_quotes_gpc来防止SQL注入
SQL注入是非常危险的问题,轻则网站后台被入侵,重则整个服务器沦陷
| 1 | magic_quotes_gpc = off |
这个默认是关闭的,如果它打开将自动把用户提交对sql的查询进行转换,比如把 ' 转换为 \' 这对防止sql注入有重大作用,所以推荐设置为
| 1 | magic_quotes_gpc = on |
SQL注入防范:
Apache 中的mod_security和mod_evasive
Nginx lua waf
7)错误信息控制
一般php在没有连接到数据库或者其他情况下会提示错误,一般信息都会包含php脚本当前的路径信息或者查询的SQL语句信息,这类信息提供给黑客后市不安全的,建议关闭错误提示
| 1 | display_errors = off #正式环境不要给用户报错 |
8)错误日志
1 2 |
|
部分资源限制参数优化
1)设置每个脚本运行的最长时间
但无法上传较大的文件或者后台备份数据经常超时时,此时需要调整如下设置
1 2 3 |
|
2)每个脚本使用的最大内存
| 1 | memory_limit = 128m |
3)每个脚本等待输入数据最长时间
| 1 | max_input_time = 60; #(-1表示不限制) |
4)上传文件的最大许可
| 1 | upload_mx_filesize = 2M; |
部分安全参数优化
1)禁止打开远程地址
记得最近出的php include的那个安全漏洞吧!就是在一个php程序中的include了变量,那么入侵者就可以利用这个控制服务器在本地执行远程的一个php程序,例如phpshell
| 1 | allow_url_fopen = off |
2)设定防止Nginx文件解析错误漏洞
| 1 | cgi.fix_path = 0 |
3)调整php sesson会话共享信息存放位置
1 2 3 |
|
随时随地看视频
