php配置如何禁用危险函数_php配置安全加固的重要措施

首先修改php.ini文件禁用危险函数，如exec、system、eval等，通过disable_functions配置项实现；然后重启Web服务并创建测试脚本验证函数是否生效；最后设置open_basedir限制文件访问范围，确保PHP脚本只能在指定目录内操作，提升整体安全性。

如果您在配置PHP环境时希望提升服务器的安全性，防止恶意代码利用系统函数执行攻击，则需要对PHP中的危险函数进行禁用。这是防止远程命令执行、文件泄露等安全事件的重要手段。

本文运行环境：Dell PowerEdge R750，Ubuntu 22.04

一、通过php.ini禁用危险函数

修改PHP的主配置文件php.ini是最直接且有效的禁用危险函数的方式。该方法适用于所有使用该PHP环境的应用程序，能够全局性地阻止危险函数的调用。

1、使用文本编辑器打开php.ini文件，通常位于/etc/php/8.1/apache2/php.ini或/usr/local/php/etc/php.ini路径下。

立即学习“PHP免费学习笔记（深入）”；

2、查找配置项disable_functions，若已被注释则去掉前面的分号。

3、在disable_functions后添加需禁用的函数，多个函数之间使用英文逗号分隔。建议禁用以下函数：exec,passthru,shell_exec,system,proc_open,popen,eval,assert,symlink,link,chmod,chown,chgrp,ini_set,dl。

4、保存文件并重启Web服务，如Apache或Nginx，使配置生效。

二、验证危险函数是否成功禁用

在完成配置更改后，必须验证目标函数是否已被正确禁用，以确保安全策略已生效。可通过编写测试脚本模拟调用被禁函数来检测结果。

1、创建一个名为test.php的文件，放置于Web根目录下。

Ghostwriter

Replit推出的AI编程助手，一个强大的IDE，编译器和解释器。

122

查看详情

2、在文件中添加代码：<?php echo exec('whoami'); ?>。

3、通过浏览器访问该文件，如果页面空白或提示函数被禁用，则表示配置成功。

4、也可使用php -r "var_dump(ini_get('disable_functions'));"命令在终端查看当前禁用函数列表。

三、使用Open_basedir限制文件访问范围

即使禁用了危险函数，仍可能存在路径遍历等风险。通过设置open_basedir可将PHP脚本的文件操作限制在指定目录内，进一步提升安全性。

1、在php.ini中找到或添加open_basedir指令。

2、将其值设置为网站根目录，例如：/var/www/html:/tmp，允许多个目录时使用冒号分隔。

3、保存配置并重启服务，此后PHP脚本无法访问指定目录之外的文件。

4、注意确保包含临时目录（如/tmp），避免影响正常功能如文件上传。

以上就是php配置如何禁用危险函数_php配置安全加固的重要措施的详细内容，更多请关注php中文网其它相关文章！