在Ubuntu下配置PHP安全选项,可以通过修改PHP的配置文件php.ini来实现。以下是一些常见的安全选项及其配置方法:
禁用危险函数:
打开php.ini文件,找到并注释掉或删除一些危险的函数,例如:
disable_functions = eval,assert,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
设置错误报告级别:
将错误报告级别设置为E_ALL & ~E_DEPRECATED & ~E_STRICT,以避免泄露敏感信息:
error_reporting = E_ALL & ~E_DEPRECATED & ~E_STRICT
display_errors = Off
log_errors = On
error_log = /var/log/php_errors.log
配置文件上传限制: 限制上传文件的大小和类型,以防止恶意文件上传:
upload_max_filesize = 2M
post_max_size = 8M
file_uploads = On
配置会话安全: 设置会话cookie的安全选项,例如使用HTTP Only和Secure标志:
session.cookie_httponly = On
session.cookie_secure = On
配置数据库连接安全: 如果使用数据库,确保使用预处理语句来防止SQL注入:
$stmt = $pdo->prepare('SELECT * FROM users WHERE id = :id');
$stmt->execute(['id' => $userId]);
配置OpenSSL安全: 如果使用OpenSSL,确保禁用不安全的加密算法:
openssl.cafile=/etc/ssl/certs/ca-certificates.crt
配置内存限制: 设置脚本的最大执行时间和内存使用限制,以防止资源耗尽攻击:
max_execution_time = 30
memory_limit = 128M
配置文件系统访问权限: 确保PHP脚本只能访问必要的文件和目录,并设置适当的权限:
chmod -R 755 /var/www/html
chown -R www-data:www-data /var/www/html
配置防火墙: 使用UFW(Uncomplicated Firewall)或其他防火墙工具来限制对服务器的访问:
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable
定期更新PHP和依赖库: 定期更新PHP和相关的依赖库,以确保安全漏洞得到修复。
通过以上步骤,可以显著提高Ubuntu下PHP应用的安全性。记得在修改php.ini文件后重启PHP-FPM或Apache服务以使更改生效:
sudo systemctl restart php7.4-fpm # 对于PHP 7.4
sudo systemctl restart apache2 # 对于Apache
或者:
sudo systemctl restart php7.4-fpm # 对于PHP 7.4
sudo systemctl restart nginx # 对于Nginx
请根据你的实际PHP版本和Web服务器进行调整。