php open_basedir 保険とパフォーマンスのトレードオフ-PHPチュートリアル-php.cn

php open_basedir セキュリティとパフォーマンスのトレードオフ

open_basedir は PHP I/O パフォーマンスに重大な影響を与えます

これは昨日見た記事ですが、読んだ後にサーバーなどでテストをしてみたところ、影響はありました。結局のところ、open_basedir がファイルを要求、インクルード、決定するたびに、まずそのファイルが実行可能ディレクトリにあるかどうかを判断する必要があります。それで。。。パフォーマンスは低下します (フレームワークを使用している場合、パフォーマンスはさらに低下する可能性があります)。通常、ファイルディレクトリのアクセス許可を設定することでこれを防ぐことができます (Linux ではユーザーとユーザーグループを指定できます)。 Windows はディレクトリの所有者を設定できます (当時、Win 環境でこれに最も悩まされました。仮想ホストごとにユーザーを追加し、アクセス許可を指定して、ディレクトリにユーザーを設定する必要があったからです)]

私が見た記事の内容は以下の通りです:

今日プロジェクトに取り組んでいたとき、数行のステートメントに実際には 0.04 秒かかったことがわかりました

その後、追跡したところ、最も時間がかかるのは、1 つの is_file の読み取りと書き込みに実際に 0.003 秒かかったことがわかりました。

その後、私は当惑しましたが、Google には何の答えもありませんでした。

その後、プロジェクトを別のコンピューターに置いたところ、速度が前の 0.04 秒から約 0.007 秒まで急激に増加したことがわかりました。

私の本はとてもひどいものではないでしょうか?

比較した結果、私のマシン上のこのプロジェクトの仮想ホストに open_basedir が設定されていることがわかりました。

これが仮想ホスティングに不可欠であることは誰もが知っています。

しかし、これは本当にそうなのか、もう一度テストしてみました。

私のテストコードは非常に単純です:

PHP コード

01.$time = microtime(true);???
02.is_file('1.html');???
03.echo microtime(true) - $時間;???

空の 1.html ファイルを作成しました。このファイルは現在のディレクトリに絶対に存在します。

新しい仮想ホストを作成し、open_basedir を設定しました。

得られた結果は約 0.0018570423126221

次に、Apache 設定ファイルを入力し、open_basedir を削除しました

得られた結果は 5.0067901611328E-5 ですが、この結果は PHP では小数点を表現できないほど小さいです

(注: is_file の結果がキャッシュされるため、上記の結果はキャッシュを複数回実行した結果です)

仮想ホストプローブの I/O パフォーマンスが非常に小さい理由がようやくわかりました...

何というカップでしょう...

テストすることもできます。。これが実際のテストです。

－－－－－－－－－－－－－－－－－－－
この設定をキャンセルするか、../:./:/tmp:../?
－－－－－－－－－－－－－－－－－－－－－

以下は php.ini の元の説明とデフォルト設定です:

; open_basedir を設定すると、すべてのファイル操作が定義されたディレクトリ
以下に制限されます。 per -directory または
; このディレクティブは、
open_basedir = にアクセスできるかどうかには影響されません。ユーザーによるファイルのアクティブスコープは、指定された領域 (通常はホームディレクトリのパス) に制限され、記号 "." を使用して現在のディレクトリを表すこともできます。 open_basedir で指定される制限は、実際にはディレクトリ名ではなくプレフィックスであることに注意してください。
例: "open_basedir = /dir/user" の場合、ディレクトリ "/dir/user" と "/dir/user1" はどちらも
アクセス可能です。したがって、指定したディレクトリのみへのアクセスを制限したい場合は、パス名の末尾にスラッシュを付けます。たとえば、次のように設定します:
"open_basedir = /dir/user/"

open_basedir は、複数のディレクトリを同時に設定することもできます。Windows ではセミコロンを使用してディレクトリを区切ります。他のシステムでは
コロンを使用してディレクトリを区切ります。 Apache モジュールで動作する場合、親ディレクトリの open_basedir パスが自動的に継承されます。

Apache で特定のユーザーに対して独立した設定を行うには 3 つの方法があります:

(a) Apache の httpd.conf の Directory の対応する設定方法:

php_admin_value open_basedir /usr/local/apache/htdocs/

#複数のディレクトリを設定するには、次を参照できます:

php_admin_value open_basedir /usr/local/apache/htdocs/:/tmp/

(b) Apache の httpd.conf における VirtualHost の対応設定方法:
php_admin_value open_basedir /usr/local/apache/htdocs/

#複数のディレクトリを設定する場合は、以下を参照してください。 :

php_admin_value open_basedir /var/www/html/:/var/tmp/

(c) VirtualHost で open_basedir を設定すると、この仮想ユーザーは php.ini
の open_basedir 設定値を自動的に継承しなくなるため、柔軟な設定対応が困難になるため、この制限を VirtualHost
に設定しないでください。たとえば、php.ini で open_basedir = .:/tmp/ を設定できます。この設定は、

が現在のディレクトリ (つまり、 PHP スクリプトファイルは、/tmp/ ディレクトリにあります。

注意: php.ini で設定されているファイルをアップロードするための一時ディレクトリが /tmp/ である場合、open_basedir を設定するときに
/tmp/ を含める必要があります。そうしないと、新しいバージョンの php がプロンプトを表示します。「open_basedir 制限が有効です」
警告メッセージが表示されますが、move_uploaded_file() 関数は /tmp/ ディレクトリにアップロードされたファイルを正常に削除できます。これが脆弱性なのか新しい機能なのかはわかりません。

ShopEx472 バージョンの構成:

open_basedir = "D:/サーバー;../カタログ;../インクルード;../../ホーム;../システムサイト;../テンプレート;../言語;../../言語;../../../言語;../../../../言語"

ウェブサイトのセキュリティとパフォーマンスは相反する関係にあるようです。 PHP Web サイトの場合、選択するのが特に困難です。最も単純な例を見てみましょう: php 構成ファイルの open_basedir は、PHP が開くことができるファイルを、ファイル自体を含む指定されたディレクトリツリーに制限します。本来、これは Web サイトのセキュリティにとって非常に有益ですが、作成者がインターネットから入手した情報によると、open_basedir は PHP の IO 操作のパフォーマンスに大きな影響を与えるとのことです。調査データによると、php_basedir で構成されたスクリプト io の実行速度は、構成されていない場合の 10 倍以上遅くなります。

最初はこの結果を完全に信じていませんでしたが、テストデータを見てこの見方を認めるようになりました。

簡単なスクリプトを作成します:

<?php

<code class="php keyword">function関数microtime_float()

{

???? list( $usec, $usec<code class="php variable">$sec) = $sec<code class="php functions">explode(爆発<code class="php string">" ", microtime()); " "

???? return ((float)$usecreturn+ (float)$sec ); $usec

$sec<code class="php plain">}

?

$time_start = microtime_float(); ?

$time_start<code class="php spaces">?

is_file (?'1.html' );?

<span style="color: #ff1493;">is_file<code class="php comments"><span style="color: #008200;">//判断当前目录是否有1.html这个文件 </span>

'1.html'<div class="line number11 index10 alt2">$time_end

<span style="color: #008200;">//現在のディレクトリに 1.html があるかどうかを判断しますファイル<code class="php plain">= microtime_float();

$time_end<code class="php variable">$time = $time_end - $time$time_start ; $time_end

$time_start<code class="php spaces">?

<🎜> <🎜> <🎜>?<🎜>

echo "Did is_file in $time secondsn";

?>

open_basedir のテスト結果については
0.0006 / 5.0E-5
その差はかなり大きいですが、賢明な友人であれば、作者の Web サイトが open_basedir で構成されていることに注意してください。このようなパフォーマンスの低下と比較すると、むしろ良いと思います。セキュリティと引き換えにパフォーマンスを犠牲にしますか?推測する必要はありません、あなたも私と同じ選択をするかもしれません ~ 結局のところ、サーバーのセキュリティの方が重要です。

ヒント: open_basedir の設定方法
スクリプトが、たとえば fopen() または gzopen() を使用してファイルを開こうとすると、ファイルの場所がチェックされます。 PHP は、指定されたディレクトリツリーの外にあるファイルを開くことを拒否します。すべてのシンボリックリンクは解決されるため、シンボリックリンクを通じてこの制限を回避することはできません。

特別な値。スクリプトの作業ディレクトリがベースディレクトリとして使用されることを指定します。ただし、スクリプトの作業ディレクトリは chdir() によって簡単に変更できるため、これは多少危険です。

httpd.conf ファイルでは、他の構成オプションと同様に、「php_admin_value open_basedir none」メソッド (一部の仮想ホストなど) を使用して、open_basedir をオフにすることができます。

Windows では、ディレクトリをセミコロンで区切ります。他のシステム上のディレクトリを区切るにはコロンを使用します。 Apache モジュールとして、親ディレクトリの open_basedir パスが自動的に継承されます。

open_basedir で指定される制限は、実際にはディレクトリ名ではなくプレフィックスです。つまり、「open_basedir = /dir/incl」は、「/dir/include」および「/dir/incls」が存在する場合、それらへのアクセスも許可します。指定したディレクトリのみへのアクセスを制限したい場合は、パス名の末尾にスラッシュを付けます。例: 「open_basedir = /dir/incl/」。