PHP系统的安全配置初级

PHP有很多的配置参数，可以直接访问系统和操作目录的。
比如system命令（该命令可以让php直接访问Linux系统，做一些登录后的操作）在默认的php-fpm程序里，是默认关掉了的。
1.php-fpm的php.ini查看（默认的php目录）
切换到/usr/local/php/etc  目录下面，可以看到php的基本配置在该目录下
如果没有找到  可以用命令查找语句
find /usr/local/php  -name php.ini
会将对应的位置列出来
2.关闭掉正在运行的php-fpm（主要作用是重启php-fpm,解决一些崩溃BUG）
 killall  php-fpm(关闭掉所有叫php-fpm的运行进程)
 如果要重新开始运行
 /usr/local/php/sbin/php-fpm(超级管理员命令)
 3.为了防止对面查看php版本
 expose_php=on （开启这个后，攻击者将无法查看php的版本信息）
 3.开启后  可以直接调用system(和system类似的包括exec命令，一个输出命令运行的结果，一个不输出运行的结果)
 system("pwd");  
 直接调用了Linux的pwd命令。
 该命令默认情况是被禁止掉了的，在php.ini的
 disable_functions = 后面可以填写一大串的禁止使用函数，（多个禁用函数的时候，需要用逗号分割）比如
 禁止掉phpinfo() 函数，这样系统就无法查看phpinfo()的信息了。
 如果要用系统的命令，需要开放system命令（该命令不安全，但是在恰当的场合使用却能大幅度提升效率）
4.开启了一些不安全的指令，需要用一些配置来限制其访问目录权限
open_basedir= .:/home/www/
open_basedir 限定当前用户的访问目录 .代表当前目录 /home/www代表允许访问的所有目录  超过限定目录后，会直接报错
5.在正式的运行环境上，需要对php.ini的一些东西进行新配置（生效的作用范围仅仅是当前php脚本）
关闭错误显示  
error_reporting(E_ALL);
ini_set( 'display_errors', 'On' );

error_reporting(0);
ini_set( 'display_errors', 'Off' );
6.当开启了safe_mode的时候 ini_set 也是没有用的
      ini_set('post_max_size','10M');
      ini_set('upload_max_filesize','8M');//文件上传最大  
需要在.htaccess进行配置（要求设置是 AllowOverride All）
php_value upload_max_filesize 8M   
php_value post_max_size 10M
PS：在大型项目部署中，所有环境都是统一的，一般都是开启安全模式，这个时候是不允许单独改变php的某个配置参数（PHP的配置是运维部确定了配置，不允许程序员擅自改动运行环境，只能通过自己内部完成）要完成该功能就需要.htaccess 进行配置