一、啟用 PHP 的安全模式

PHP 環境提供的安全模式是一個非常重要的內嵌安全機制，PHP 安全模式能有效控制一些 PHP 環境中的函數（例如system()函數），對大部分的文件操作函數進行權限控制，同時不允許對某些關鍵文件進行修改（例如 /etc/passwd）。但是，默認的 php.ini 配置文件并沒有啟用安全模式。

可以通過修改 php.ini 配置文件啟用 PHP 安全模式：

1safe_mode = on

二、用戶組安全

當啟用安全模式后，如果safe_mode_gid選項被關閉，PHP 腳本能夠對文件進行訪問，且相同用戶組的用戶也能夠對該文件進行訪問。

因此，建議將該選項設置為關閉狀態：

1safe_mode_gid = off

該選項參數僅適用于 Linux 操作系統。

如果不進行該設置，可能無法對服務器網站目錄下的文件進行操作。

三、安全模式下執行程序主目錄

如果啟用了安全模式后，想要執行某些程序的時候，可以指定需要執行程序的主目錄，例如：

1safe_mode_exec_dir = /usr/bin

一般情況下，如果不需要執行什么程序，建議您不要指定執行系統程序的目錄?？梢灾付ㄒ粋€目錄，然后把需要執行的程序拷貝到這個目錄即可，例如：

1safe_mode_exec_dir = /data/www/cmd

但是，更推薦不要執行任何程序。這種情況下，只需要將執行目錄指向網頁目錄即可：

1safe_mode_exec_dir = /data/www

四、安全模式下包含文件

如果需要在安全模式下包含某些公共文件，只需要修改以下選項即可：

1safe_mode_include_dir = /data/www/include/

一般情況下，PHP 腳本中包含的文件都是在程序已經寫好的，可以根據具體需要進行設置。

五、控制 PHP 腳本能訪問的目錄

使用open_basedir選項能夠控制 PHP 腳本只能訪問指定的目錄，這樣能夠避免 PHP 腳本訪問不應該訪問的文件，一定程度下降低了 phpshell 的危害。一般情況下，可以設置為只能訪問網站目錄：

1open_basedir = /data/www

六、關閉危險函數

如果啟用了安全模式，那么可以不需要設置函數禁止，但為了安全考慮，還是建議進行相關設置。例如，不希望執行包括system()等在內的執行命令的 PHP 函數，以及能夠查看 PHP 信息的phpinfo()等函數，那么您可以通過以下設置禁止這些函數：

1disable_functions = system, passthru, exec, shell_exec, popen, phpinfo, escapeshellarg, escapeshellcmd, proc_close, proc_open, dl

如果想要禁止對于任何文件和目錄的操作，可以關閉以下文件相關操作。

1disable_functions = chdir, chroot, dir, getcwd, opendir, readdir, scandir, fopen, unlink, delete, copy, mkdir, rmdir, rename, file, file_get_contents, fputs, fwrite, chgrp,chmod, chown

以上設置可以抵制大部分的 phpshell 威脅。

七、關閉 PHP 版本信息在 HTTP 頭中的泄露

為了防止黑客獲取服務器中 PHP 版本的信息，禁止該信息在 HTTP 頭部內容中泄露：

1expose_php = off

這樣設置之后，黑客在執行telnet <domain> 80嘗試連接服務器的時候，將無法看到 PHP 的版本信息。

 

八、錯誤信息控制

一般 PHP 環境在沒有連接到數據庫或者其他情況下會有錯誤提示信息，錯誤信息中可能包含 PHP 腳本當前的路徑信息或者查詢的 SQL 語句等信息，這類信息如果暴露給黑客是不安全的，因此禁止該錯誤提示：

1display_errors = Off

如果確實要顯示錯誤信息，一定要設置顯示錯誤信息的級別。例如，只顯示警告以上的錯誤信息：

1error_reporting = E_WARNING & E_ERROR

強烈建議您關閉錯誤提示信息。

 

九、錯誤日志

在關閉錯誤提示信息后，對于錯誤信息進行記錄，便于排查服務器運行異常的原因：

1log_errors = On

同時，需要設置錯誤日志存放的目錄：

1error_log = /data/logs/php_error.log

該文件必須設置允許 Apache 或者 nginx 用戶或用戶組具有寫的權限。