问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

关于PHP 的safe_mode

发布网友 发布时间:2022-04-29 09:00

我来回答

2个回答

懂视网 时间:2022-04-29 13:21

同样的,一些php扩展中的函数也将会受到影响。(加载模块:在安全模式下dl函数将被禁止,如果要加载扩展的话,只能修改php.ini中的扩展选项,在php启动的时候加载)

在php安全模式打开的时候,需要执行系统程序的时候,必须是在safe_mode_exec_dir选项指定目录的程序,否则执行将失败。即使允许执行,那么也会自动的传递给escapeshellcmd函数进行过滤。

以下执行命令的函数列表将会受到影响:

exec,shell_exec,passthru,system,popen

另外,背部标记操作符(`)也将被关闭。

当运行在安全模式下,虽然不会引起错误,但是putenv函数将无效。同样的,其他一些尝试改变php环境变量的函数set_time_limit, set_include_path也将被忽略。

如何开启PHP安全模式(请注意,PHP5.3将不再有安全模式)

打开或者关闭php的安全模式是利用php.ini中的safe_mode选项:

safe_mode=On(使用安全模式)
safe_mode=Off(关闭安全模式)

在apache的httpd.conf中VirtualHost的相应设置方法

php_admin_flag safe_mode On(使用安全模式)
php_admin_flag safe_mode Off(关闭安全模式)
或者:
php_admin_value safe_mode1(使用安全模式)
php_admin_value safe_mode0(关闭安全模式)

启用安全模式后的影响:

当函数在访问文件系统的时候将进行文件所有者的检查。缺省情况下,会检查该文件所有者的用户id,当你能够修改文件所有者的组id(gid)为safe_mode_gid选项所指定的。

如果你有一个共享库文件在你的系统上,当你碰到需要include或require的时候,那么你可以使用 safe_mode_include_dir选项来设置你的路径,保证你的代码正常工作。(包含路径:如果你想要使用 safe_mode_include_dir选项包含更多的包含路径,那么你可以象include_path选项一样,在unix/linux系统下使用 冒号进行分割,在windows下使用分号进行分割)

比如你想要在安全模式下包含/usr/local/include/php下的文件,那么你可以设置选项为:

safe_mode_include_dir=/usr/local/include/php

如果你的包含的文件是需要执行的,那么你可以设置safe_mode_exec_dir选项。

比如你需要/usr/local/php-bin路径下的文件是可以执行的,那么可以设置选项为:

safe_mode_exec_dir=/usr/local/php-bin

(可执行:如果你执行的程序在/usr/bin目录下,那么你可以把这些的二进制文件,连接到你指定选项下能够执行的路径)

如果你想设置某些环境变量,那么可以使用safe_mode_allowed_env_vars选项。这个选项的值是一个环境变量的前缀,缺省是允许php_开头的环境变量,如果你想要改变,可以设置该选项的值,多个环境变量前缀之间使用逗号进行分割。

比如下面允许时区的环境变量tz,那么修改该选项的值为:

safe_mode_allowed_env_vars=php_,tz

除了安全模式以外,php还提供了许多其他许多特征来保证php的安全。

1、[隐藏php的版本号]

你能够在php.ini里使用expose_php选项来防止web服务器泄露php的报告信息。如下:

expose_php=on

利用整个设置,你能够阻碍一些来自自动脚本针对web服务器的攻击。通常情况下,http的头信息里面包含了如下信息:

server:apache/1.3.33(unix)php/5.2.4mod_ssl/2.8.16openssl/0.9.7c

在expose_php选项打开以后,php的版本信息将不包含在上面的头信息里。

当然,用户访问网站的时候同样能够看到.php的文件扩展名。如果你想整个的使用不同的文件扩展名,你需要在httpd.conf中找到如下这行:

addtype application/x-httpd.php

你就可以修改.php为任何你喜欢的文件扩展名。你能够指定任意多个的文件扩展名,中间使用空格进行分割。如果你想在服务器端使用php来解析.html和.htm文件的时候,那么你设置选项如下:

addtype application/x-httpd.html.htm

(解析html:配置你的web服务器使用php去解析所有的html文件,但是如果非服务器端代码也需要php去解析,会影响服务器的性能。静态页面你可以使用不同的扩展名,这样能够消除对php脚本引擎的依赖,增强性能。)

2、[文件系统安全]

安全模式限制了脚本所有者只能访问属于自己的文件,但是你可以使用open_basedir选现来指定一个你必须访问的目录。如果你指定了一个目录,php将拒绝访问除了该目录和该目录子目录的其他目录。open_basedir选项能够工作在安全模式之外。

限制文件系统只能访问/tmp目录,那么设置选项为:

open_basedir=/tmp

3、[函数访问控制]

你能够在disable_functions选项中使用逗号分割来设定函数名,那么这些函数将在php脚本中被关闭。这个设置能够工作在安全模式之外。

disable_functions=dl

当然,同样的你能够使用disable_classes选项来关闭对一些类的访问。

4、[数据库安全]

假设你的php脚本中包含一个基于表单值来执行的mysql查询:

$sql=”update mytable set col1=”.$_post[“value”].”where col2=’somevalue'”;
$res=mysql_query($sql,$db);

你希望$_post[“value”]包含一个整数值来更新你的列col1。可是,一个恶意用户能够输入一个分号在表单字段里,接着,是一段他/她想被任意执行的sql语句。

举例,假设下面是$_post[“value”]提交的值:

0;insert into admin_users(username,password) values (‘me’,’mypassword’);

那么当这个查询发送给mysql查询的时候,那么就变成了下面这条sql:

update mytable set col1=0;
insert into admin_users(username,password) values (‘me’,’mypassword’);
where col2=’somevalue';

这明显是一个有害的查询!首先这个查询会在mytable表里更新col1。这个并没有什么麻烦的,但是第二个表达式,它将执行insert表达式 来插入一个能登陆的新管理员。第三个表达式就废弃了,但同时sql解析器将抛出一个错误,这个有害的查询才完成。这个攻击就是大家常说的sql injection(注:sql注入)。

当然,sql injection存在一个问题,对方必须了解你的数据库结构。在这个例子中,攻击者是知道你有一个表admin_users,并且知道包含username和password字段,同时,存储的密码是没有加密的。

除了你自己,一般的网站访问者是不知道这些关于数据库的信息。可是,如果你使用了一个开发源代码的在线电子商务程序,或者使用一个自由的讨论版程序,这些数据表的定义都是已知的,或者有一些用户能够访问到你的数据库。

此外,你的脚本输出会提示一个查询错误,这些信息里包含了很多关于数据库结构的重要信息。在一个正常工作的网站上,你应该考虑设置 display_errors选项为off,并且使用log_errors来代替display_errors,把警告和错误信息插入到文件中。

(数据库权限:它是一个非常重要的东西,你只有正确的权限,才能通过脚本正确的连接数据库。你应该不要在脚本中使用管理员去连接数据库。如果你这么 做,那么一个攻击者将可能获取全部的数据库权限,并且包括其他相同服务器的权限。攻击者将可能运行grant或create user命令来获取更多的访问权限。)

如果你要防止sql injection攻击,你必须保证用户表单里提交的内容不是一个能够执行的sql表达式。

前一个例子中,我们使用一个整型值来进行更新。如果在单引号后面跟上一个字符串,这个攻击者在分号之前必须提交一个闭合的引用在整个sql表达式中。可是,当magic_quotes_gpc选项是开启的时候,在web表单中提交的引号将自动被转义。

为了防止被恶意的攻击者进行sql injection攻击,你应该总是确认提交的数据是合法的。如果你需要的是一个整数值,那么你可以使用is_numeric函数来测试这个表达值,或者使用settype函数来转换为一个数字,清除任何一个傻傻的sql语句。

如果你开发的程序需要几个提交的值在一个sql表达式里,你能够使用sprintf函数来构建一个sql字符串,使用格式化字符来指示数据类型的每个值。看下面的例子:

$sql=sprintf(“update mytable set col1=%d where col2=’%s'”, $_post[“number”], mysql_escape_string($_post[“string”]));

在上一个例子中,整个mysql的数据已经被使用,所以这个字符串已经通过mysql_escape_string函数进行过滤。对于其他数据库,你可以使用addslashes函数进行转义,或者使用其他方法。

更多php相关知识,请访问php教程!

热心网友 时间:2022-04-29 10:29

system,passthru,exec,shell_exec,popen,phpinfo等等大部分的文件操作函数。
因为Safe_mode是php非常重要的内嵌的安全机制。默认是关闭的
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
苹果电脑电池充不进电苹果电脑充不进去电是怎么回事 苹果电脑不充电没反应苹果电脑充电指示灯不亮充不了电怎么办 狗狗更加忠诚护家、善解人意,养一只宠物陪伴自己,泰迪能长多大... 描写泰迪狗的外形和特点的句子 国外留学有用吗 花钱出国留学有用吗 !这叫什么号 百万医疗赔付后是否可以续保 前一年理赔过医疗险还能续保吗? 医疗住院险理赔后还能购买吗? 西式婚礼的牧师主持词 婚礼主持词怎么说的? 婚礼司仪的经典台词(中式的和西式的)完整版 高分求西式婚礼司仪台词是? 西式婚礼司仪台词是? 急需西式婚礼司仪的主持词 笔记本电脑两边屏幕出现黑边怎么办啊!!! 笔记本电脑屏幕总是闪,边缘有黑框。重做系统也不好使。请问怎么回事? 笔记本电脑 W10的 屏幕下面无缘无故多了一丢丢黑边 是怎么回事? 笔记本电脑一打开屏幕就出现一个黑色程序框然后迅速消失 大家有什么好听的姓白的女孩的名字吗,帮忙想一下吧 姓白的女孩好听的名字 一个男人对女人屏蔽朋友圈,是想分手了,还是闹情绪? 男人为什么和你分手了,屏蔽我朋友圈? 一个男人对女人屏蔽朋友圈,是想分手了吗,还是生气试探呢? 男人对女人屏蔽朋友圈,是想分手了,还是生气试探呢? 梦见看到了僧人在庙里杀马? 梦见很多小和尚被杀死血流成河 昨晚梦到整个寺院被火烧,我却穿着和尚服,全部人都死了,只有我一个活下来,当我逃到门口被人杀害了… 梦见杀了一个和尚,求解 怀孕是女人一生中的特殊时期,孕妈秋季养生吃哪些食物最好呢? 孕妇秋季养生食谱.孕妇秋季养生吃什么好 有拼多多无限刀软件吗? 拼多多上面免费砍一刀的为啥老是要拉一堆的人51moreone.com真的是好麻烦,一刀下去还要一刀,如此反复? 今年五一节是成立多少年 怎样开通银行卡号? 银行卡号几位数,怎样申请 如何拥有银行卡号 怎样创银行卡号啊 怎么赶蝙蝠出房子他住在外墙墙壁里 PHP的Safe_mode 打开后哪些处所受限. 万集科技股票怎么掉了这么多? 万集科技为什么涨停还涨 中签新股万集科技什么时候开盘上市交易 万集科技最近有搞非公开增发吗 2021年中小学高级教师职称本在哪个网上打印 我在淘宝里面买东西是朋友代付的,而且我没有支付宝和支付宝密码,然后支付密码可以用微信支付的密码吗? 贵港教师职称公示多久后可以打印证书 内蒙古呼和浩特市教师的职称证怎么打印? php如何开启安全模式?是在安装php的时候有选择吗?具体点