编辑“︁PHP安全配置”︁（章节）

= PHP安全配置 =

== 介绍 ==
PHP安全配置是指通过调整PHP运行环境（php.ini文件、服务器设置等）来降低安全风险的技术手段。合理的配置能有效防御常见攻击如SQL注入、XSS、文件包含漏洞等，是PHP安全编程的基础环节。

== 核心配置参数 ==
以下为php.ini中关键安全配置项及其作用：

{| class="wikitable"
! 配置项 !! 推荐值 !! 安全作用
|-
| <code>expose_php</code> || Off || 隐藏PHP版本信息
|-
| <code>allow_url_fopen</code> || Off || 禁止远程文件包含
|-
| <code>allow_url_include</code> || Off || 禁止远程代码执行
|-
| <code>disable_functions</code> || exec,system,passthru... || 禁用危险函数
|-
| <code>open_basedir</code> || /var/www/html || 限制文件访问范围
|-
| <code>display_errors</code> || Off || 生产环境关闭错误显示
|-
| <code>session.cookie_httponly</code> || On || 防止Cookie劫持
|}

=== 代码示例：验证配置效果 ===
<syntaxhighlight lang="php">
<?php
// 检查远程文件包含是否禁用
if (ini_get('allow_url_include')) {
    echo "警告：allow_url_include已启用！";
} else {
    echo "安全配置有效：远程包含已禁用";
}
?>
</syntaxhighlight>

'''输出：'''
<pre>
安全配置有效：远程包含已禁用
</pre>

== 深度防御策略 ==
=== 文件系统安全 ===
使用<code>open_basedir</code>限制PHP可访问目录：
<syntaxhighlight lang="ini">
; php.ini配置示例
open_basedir = /var/www/example.com/public_html/:/tmp/
</syntaxhighlight>

<mermaid>
graph LR
    A[用户请求] --> B{PHP脚本}
    B -->|尝试访问| C[/var/www/]
    C -->|成功| D[允许目录]
    C -->|失败| E[open_basedir阻止]
</mermaid>

=== 会话安全配置 ===
<math>
安全强度 = \frac{会话超时时间 \times Cookie安全标志}{会话固定风险}
</math>

<syntaxhighlight lang="php">
// 安全会话设置示例
ini_set('session.cookie_secure', 1);   // 仅HTTPS传输
ini_set('session.cookie_httponly', 1); // 禁止JS访问
ini_set('session.use_strict_mode', 1); // 防止会话固定
session_regenerate_id(true);           // 定期更换ID
</syntaxhighlight>

== 实际案例 ==
'''案例1：配置错误导致信息泄露'''
* 问题：<code>display_errors=On</code> + <code>error_reporting=E_ALL</code>暴露数据库凭证
* 解决方案：
<syntaxhighlight lang="ini">
display_errors = Off
log_errors = On
error_log = /var/log/php_errors.log
</syntaxhighlight>

'''案例2：文件上传漏洞防护'''
* 安全配置组合：
<syntaxhighlight lang="php">
// 限制上传文件类型和大小
ini_set('upload_max_filesize', '2M');
ini_set('post_max_size', '3M');
ini_set('file_uploads', 'On');
</syntaxhighlight>

== 高级配置技巧 ==
=== 自定义安全头 ===
<syntaxhighlight lang="php">
header("X-Frame-Options: DENY");
header("X-Content-Type-Options: nosniff");
header("Content-Security-Policy: default-src 'self'");
</syntaxhighlight>

=== 性能与安全平衡 ===
{| class="wikitable"
! 配置项 !! 开发环境 !! 生产环境
|-
| <code>opcache.validate_timestamps</code> || On || Off
|-
| <code>realpath_cache_size</code> || 128K || 512K
|-
| <code>max_execution_time</code> || 120 || 30
|}

== 配置检查工具 ==
使用内置函数验证当前配置：
<syntaxhighlight lang="php">
print_r(ini_get_all(null, false));  // 获取所有配置项
</syntaxhighlight>

== 最佳实践总结 ==
# 最小权限原则：仅启用必要功能
# 定期审计配置（建议使用工具如：PHP Security Checker）
# 不同环境（开发/测试/生产）采用差异化配置
# 结合服务器层面安全措施（如ModSecurity）

== 参见 ==
* [[PHP安全编程/输入验证]]
* [[PHP安全编程/会话管理]]
* [[OWASP PHP安全配置指南]]

[[Category:编程语言]]
[[Category:PHP]]
[[Category:PHP安全编程]]