Ubuntu上PHP安全如何保障

保障Ubuntu上PHP安全可从以下方面入手：

1. 系统与软件更新
   定期更新PHP、Web服务器（如Apache/Nginx）及系统软件包，修复安全漏洞：

   sudo apt update && sudo apt upgrade  
   

2. 配置文件安全

   • php.ini：
     • 禁用危险函数：disable_functions = eval, exec, system, shell_exec
     • 关闭错误显示：display_errors = Off，记录日志：log_errors = On
     • 限制文件访问：open_basedir = /var/www/html:/tmp
     • 禁止远程代码执行：allow_url_fopen = Off，allow_url_include = Off
   • Web服务器配置（以Apache为例）：
     • 禁用不必要的模块（如mod_php可替换为PHP-FPM）
     • 启用安全模块（如mod_security）

3. 权限与访问控制

   • 设置文件/目录权限：

     sudo chown -R www-data:www-data /var/www/html  
     sudo chmod -R 755 /var/www/html  
     

   • 限制PHP进程权限：使用AppArmor或SELinux限制访问敏感目录
   • 禁用SSH root登录，使用普通用户+密钥认证

4. 安全模块与防火墙

   • 启用防火墙（UFW）限制端口访问：

     sudo ufw allow ssh  
     sudo ufw allow http  
     sudo ufw enable  
     

   • 安装Fail2Ban防止暴力破解

5. 代码与数据安全

   • 输入验证与输出转义：使用filter_input()、htmlspecialchars()防止SQL注入、XSS攻击
   • 使用预处理语句（PDO/MySQLi）防止SQL注入
   • 限制文件上传类型与大小，禁止上传可执行文件
   • 敏感数据加密存储，使用HTTPS加密传输

6. 监控与审计

   • 启用日志监控：记录访问日志与错误日志，定期分析异常
   • 使用入侵检测系统（IDS）监控可疑活动