php.ini配置中有3处设置可能导致网站安全出问题

php.ini配置中有3处设置可能导致网站安全出问题。那么是哪三处呢？跟着小编一起往下看吧。一定会对你们有所帮助的。
首先大家都知道所有的PHP源码网站都必须配置环境，不论是使用集成环境还是自己手动搭建，可能很少有人关注过php.ini里面配置的这些东西到底有什么作用，很多站长在设置php.ini文件时，都是网上找一个教程，然后人家说哪里增加哪里删除按步骤进行，但是这里面的设置还真有两处会引起网站安全问题。

有人会说就一个php.ini文件怎么可能会有安全问题呢，难不成hiker会攻击的我php.ini文件不成？
这倒不是啦，而是运行方式会给hiker提供一个窗口，请看下面的配置步骤说明。
以windows系统上安装PHP为例，所有版本的php.ini文件的设置几乎都是一样的，先去官方网站下载需要的PHP版本，然后解压缩并重命名。
假设安装php7.4，安装在服务器" target="_blank" href="http://undefined" rel="external nofollow" rel="external nofollow" gt;服务器的D盘根目录：下载Non-Thread Safe (NTS) 版本的PHP程序，然后解压缩，并重命名为“php”文件夹，将其拷贝到D盘根目录下面。
打开D:php下的php.ini-development文件，复制一份并将其重命名为php.ini，打开D:phpphp.ini文件，下面是完整的配置过程。

1、将short_open_tag = Off改为
short_open_tag = On
这样修改的作用是一些网站的模板文件中使用了如<? ？gt;这样的php代码，可保证代码可以正常执行，在ecshop、dedecms和WordPress等模板中也都常见于这类代码。
2、将expose_php = On，将其改为
expose_php = Off
作用是出于网站安全，禁止显示php的版本号，防止别人针对特定php版本漏洞攻击网站。有的网站你用站长工具一查，使用的是什么web服务器、PHP版本是多少都一目了然，对于特定的PHP版本漏洞，hiker当然是知道的，隐藏版本号虽不能说解决了问题，但是会给hiker增加难度。
3、查找如下代码
; On windows:
; extension_dir = "ext"
将这里的extension_dir前面的分号去掉，并且把ext修改为PHP的安装路径，如下所示。注意斜杠不要写反了，因为我把PHP安装在D盘的。
extension_dir = "D:phpext"
4、查找max_execution_time = 30，将数字30修改为300或1200。作用是每个脚本执行的最大时间，默认是30秒，解决可能因为网速和服务器的地址（如国外主机）可能会总是连接超时的问题。
5、搜索；cgi.force_redirect = 1，把前面的分号去掉，并把数字1改为0。cgi.force_redirect = 0的意思就是关闭重定向执行php文件，出于安全考虑防止别人上传木马执行如：你的网站url/as=你的网站url/sdf/muma.php，这样的重定向PHP文件是可执行的，将这个配置改为0之后这类型的重定向PHP文件就不会执行了。
这也是为什么有的网站总是被挂马的原因，这样修改之后即便是网站前台存在安全漏洞，被hiker上传了木马文件，通过这样的方式木马文件不会运行，所以没有用。
6、查找代码；cgi.fix_pathinfo=1将分号去掉并将数字1改为0。作用是禁止解析非法php文件，如/a.jpg/1.php这样的图片下的一个php文件属于非法的，设置为0就是禁止执行。这种将木马伪装成图片上传的文件存在已久，禁止这类文件运行，即使被上传了木马，由于设置了不允许运行，所以没有用。
7、查找代码fastcgi.impersonate = 1将前面的分号去掉。作用是iis或nginx使用的是fastcgi方式解析php文件，不开启就不能运行php程序，Apache则不用开启。
8、搜索 cgi.rfc2616_headers = 0 去掉分号并把0改为1。意思是告诉php使用什么样的报头，什么是报头呢？就像这个：HTTP/1.1。
9、搜索upload_tmp_dir =，将前面的分号删除并添加路径如下：
upload_tmp_dir = D:phptemp
意思是上传文件的临时目录，用来存放网站上传文件的临时虚拟目录，但是不会真的上传任何文件在里面。
10、分别搜索以下代码，一行一个，分别去掉其前面的分号（分号表示注释，不生效的意思，去掉就生效了）：
extension=bz2
extension=curl
extension=gd2
extension=gmp
extension=mbstring
extension=php_mysql" target="_blank" href="http://undefined" rel="external nofollow" rel="external nofollow" gt;mysql.dll
extension=mysqli
extension=pdo_mysql
11、查找date.timezone =删除分号并修改为如下这样：
date.timezone = Asia/Shanghai
注意大小写，意思是格式化时间，默认使用北京时间（东8区），这样可以使服务器时间和程序的时间一致，否则可能你发文章显示的时时间会和实际时间不一样，如果不设置时间可能会相差8小时，也可以设置为date.timezone = PRC ，设置时区为中国时区，PRC是中国时区的简称。
以上就是完整的php.ini文件配置，真的有3处设置和网站的安全有关系，由于这个文件一般只会设置一次，之后都不会去更改，所以有的问题也不容易被发现。
以上就是php.ini配置中有3处设置可能导致网站安全出问题的详细内容，你们了解了吗？如果想了解更多请关注主机参考其它相关文章！

--------------------------------------------------------------
主机参考，收集国内外VPS，VPS测评，主机测评，云服务器，虚拟主机，独立服务器，国内外服务器，高性价比建站主机相关优惠信息@zhujicankao.com
详细介绍和测评国外VPS主机,云服务器,国外服务器,国外主机的相关优惠信息,商家背景,网络带宽等等,也是目前国内最好的主机云服务器VPS参考测评资讯优惠信息分享平台

这几篇文章你可能也喜欢：

• 莱卡云怎么样？ 评测并分享徕卡云香港 CN2 GIA 2C2G5M
• LOCVPS，双12特惠，香港免备案VPS云服务器终身65折，香港葵湾机房，CN2+BGP/CN2网络，KVM虚拟架构，1核2G内存2Mbps带宽不限流量，29.25元/月
• 热网互联Hotiis，年底特惠活动，海外高质量免备案VPS云服务器5折，中国香港/美国/日本机房，1核1G内存15Mbps带宽，低至20元/月，默认赠送5G DDOS防御
• 腾讯云，双十一特价优惠活动，高性价比国内轻量云服务器年付低至48元起，2核4G内存8Mbps带宽轻量云年付70元，续费2.5折起，还有海量代金券免费领
• 腾讯云，双11活动最后一天，超便宜云服务器2核4G内存8Mbps带宽仅198元/3年，无新账号可按照本文附带教程1个身份证开8个新用户账号抢购，买到就是赚到，挖币都能回本

本文由主机参考刊发，转载请注明：php.ini配置中有3处设置可能导致网站安全出问题 https://zhujicankao.com/12344.html