保安措施和安全模式

保安措施和安全模式配置指令
名字默认可修改范围更新日志
safe_mode"0"PHP_INI_SYSTEM 
safe_mode_gid"0"PHP_INI_SYSTEM自 PHP 4.1.0 起可用,在 PHP 5.4.0 中移除。
safe_mode_include_dirNULLPHP_INI_SYSTEM自 PHP 4.1.0 起可用
safe_mode_exec_dir""PHP_INI_SYSTEM 
safe_mode_allowed_env_vars"PHP_"PHP_INI_SYSTEM 
safe_mode_protected_env_vars"LD_LIBRARY_PATH"PHP_INI_SYSTEM 
有关 PHP_INI_* 样式的更多详情与定义,见配置可被设定范围

这是配置指令的简短说明。

safe_modeboolean

是否启用 PHP 的安全模式。

safe_mode_gidboolean

默认情况下,安全模式在打开文件时会做 UID 比较检查。如果想将其放宽到 GID 比较,则打开 safe_mode_gid。是否在文件访问时使用UIDFALSE)或者GIDTRUE)来做检查。

safe_mode_include_dirstring

当从此目录及其子目录(目录必须在include_path中或者用完整路径来包含)包含文件时越过UID/GID检查。

从 PHP 4.2.0 开始,本指令可以接受和include_path指令类似的风格用冒号(Windows 中是分号)隔开的路径,而不只是一个目录。 指定的限制实际上是一个前缀,而非一个目录名。这也就是说"safe_mode_include_dir = /dir/incl"将允许访问"/dir/include"和"/dir/incls",如果它们存在的话。如果希望将访问控制在一个指定的目录,那么请在结尾加上一个斜线,例如:"safe_mode_include_dir = /dir/incl/"。 如果本指令的值为空,在 PHP 4.2.3 中以及 PHP 4.3.3 起具有不同UID/GID的文件将不能被包含。在较早版本中,所有文件都能被包含。
safe_mode_exec_dirstring

如果 PHP 使用了安全模式,system()和其它程序执行函数将拒绝启动不在此目录中的程序。必须使用/作为目录分隔符,包括 Windows 中。

safe_mode_allowed_env_varsstring

设置某些环境变量可能是潜在的安全缺口。本指令包含有一个逗号分隔的前缀列表。在安全模式下,用户只能改变那些名字具有在这里提供的前缀的环境变量。默认情况下,用户只能设置以 PHP_ 开头的环境变量(例如 PHP_FOO = BAR)。

如果本指令为空,PHP 将使用户可以修改任何环境变量!
safe_mode_protected_env_varsstring

本指令包含有一个逗号分隔的环境变量的列表,最终用户不能用putenv()来改变这些环境变量。甚至在 safe_mode_allowed_env_vars 中设置了允许修改时也不能改变这些变量。

淘宝 adsense 商品推荐

谷歌 admob Adsense 代收Pin码 美国 香港 丰富地址代收 商务服务

价格:50元

参见open_basedirdisable_functionsdisable_classesregister_globalsdisplay_errorslog_errors

safe_mode设置为 on,PHP 将通过文件函数或其目录检查当前脚本的拥有者是否和将被操作的文件的拥有者相匹配。例如:

-rw-rw-r-- 1 rasmus rasmus 33 Jul 1 19:20 script.php -rw-r--r-- 1 root root 1116 May 26 18:01 /etc/passwd
运行script.php
<?php
 readfile('/etc/passwd');
?>
如果安全模式被激活,则将会导致以下错误:

Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not
allowed to access /etc/passwd owned by uid 0 in /docroot/script.php on line 2

同时,或许会存在这样的环境,在该环境下,宽松的GID检查已经足够,但严格的UID检查反而是不适合的。可以用safe_mode_gid选项来控制这种检查。如果设置为On则进行宽松的GID检查;设置为Off(默认值)则进行UID检查。

除了safe_mode以外,如果设置了open_basedir选项,则所有的文件操作将被限制在指定的目录下。例如:

<Directory /docroot>
  php_admin_value open_basedir /docroot
</Directory>
如果在设置了open_basedir选项后运行同样的script.php,则其结果会是:

Warning: open_basedir restriction in effect. File is in wrong directory in
/docroot/script.php on line 2

淘宝 云主机 商品推荐

远程电脑出租E3E5物理双路服务器租用云主机渲染模拟器虚拟机多开

价格:19元

也可以单独地屏蔽某些函数。请注意disable_functions选项不能在php.ini文件外部使用,也就是说无法在httpd.conf文件的按不同虚拟主机或不同目录的方式来屏蔽函数。如果将如下内容加入到php.ini文件:

disable_functions readfile,system
则会得到如下的输出:

Warning: readfile() has been disabled for security reasons in
/docroot/script.php on line 2

当然,这些 PHP 限制不适用于可执行文件。