Chinaunix首页 | 论坛 | 博客

w787815的ChinaUnix博客

首页 |  博文目录 |  关于我

w787815

  • 博客访问: 370644
  • 博文数量: 114
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 1219
  • 用 户 组: 普通用户
  • 注册时间: 2015-02-07 21:23
文章分类

全部博文(114)

文章存档

2018年(1)

2017年(5)

2016年(87)

2015年(21)

我的朋友
最近访客
推荐博文
相关博文
php引擎php.ini参数优化

分类: 系统运维

2016-05-02 15:58:21


  1. 无论是apache还是nginx,php.ini都是通用,而php-fpm.com适合nginx+fcgi的配置
  2. 首先选择产品环境的php.ini(php.ini-production)
  3. [root@TCS ~]# ls /home/oldboy/tools/php-5.3.27/php.ini-*
  4. /home/oldboy/tools/php-5.3.27/php.ini-development
  5. /home/oldboy/tools/php-5.3.27/php.ini-production

  7. 打开PHP的安全模式
  8. PHP的安全模式是个非常重要的php内嵌的安全机制,能够控制一些php中的函数执行
  9. 启用安全模式
  10. safe_mode = On

  12. (1)关闭危险函数
  13. 如果打开了安全模式,那么函数禁止是可以不需要的,但是我们为了安全还是考虑进去,比如system()或者能够查看php信息的phpinfo();
  14.  PHP函数禁用找到

  16.     disable_functions =

  18. 该选项默认为disable_functions = ;可以设置哪些PHP函数是禁止使用的,PHP中有一些函数的风险性还是相当大的,
  19. 可以直接执行一些CentOS系统级脚本命令,如果允许这些函数执行,当PHP 程序出现漏洞时,损失是非常严重的!以下我们给出推荐的禁用函数设置:

  21.     disable_functions = phpinfo,passthru,exec,system,popen,chroot,escapeshellcmd,escapeshellarg,shell_exec,proc_open,proc_get_status

  23. 需注意:如果您的服务器中含有一些CentOS系统状态检测的PHP程序,则不要禁用shell_exec,proc_open,proc_get_status等函数。


  26. (1.1)关闭PHP版本信息在http头中的泄露
  27. 为了防止黑客获取服务器中的PHP版本信息,可以关闭该信息泄露在http头中。
  28. 该参数默认配置为
  29.  435行 expose_php = On
  30. 建议设置为 expose_php = Off ;它不会有安全上的直接威胁,但会使得客户端知道服务器上的PHP;当黑客执行telnet www.zsq.com 80 时,那么将无法看到php信息;
  31. (1.2)关闭注册全局变量
  32. 在php中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问
  33. 这是对服务器非常不安全的,所以不能让它注册为全局变量关闭此选项;

  35.     register_globals = Off

  37. 网络上很多关于PHP设置的文章都推荐将该选项设置为On,其实这是一种及其危险的设置方法,很可能引起严重的安全性问题。如果没有特殊的需要,
  38. (1.3)错误信息控制
  39. 一般PHP在没有连接到数据库或者其他情况下会有错误提示,一般错误提示会把php脚本当前的路径
  40. 信息或者查询SQL语句等信息,是不安全的,所以一般服务器都应禁止错误提示
  41. display_errors = Off

  43. (1.4)错误日志
  44. 建议在关闭display_errors后能够把错误记录下来,便于查找服务器运行状况;
  45. log_errors=On{php5.3.27默认即为log_errors=On}
  46. 同时也要设置错误日志存放的目录,建议跟apache日志存在一起;
  47.  error_log = /app/logs/php_errors.log
  48. 注意:文件必须允许apache用户和组具有写的权限,同时上面log为On时,才能指定错误日志存放路径;

  50.  

  52. (2) PHP脚本执行时间找到

  54.     max_execution_time = 30

  56. 该选项设定PHP程序的最大执行时间,如果一个PHP脚本被请求,且该PHP脚本在max_execution_time时间内没能执行完毕,则PHP不再继续执行,直接给客户端返回超时错误。没有特殊需要该选项可保持默认设置30秒,如果您的PHP脚本确实需要长执行时间则可以适当增大该时间设置。

  58. (3) PHP脚本处理内存占用找到

  60.     memory_limit = 128M
  61. (3.1)每个脚本等待输入数据最长时间
  62.  max_input_time = 60


  65. 该选项指定PHP脚本处理所能占用的最大内存,默认为128MB。

  67. (4)禁止打开远程地址,禁止利用控制服务器在本地执行远程PHP程序;
  68.  allow_url_fopen = Off,默认已经打开
  69.  
  70. (4.1)设定:cgi.fix_pathinfo=0 防止Nginx文件类型错误解析漏洞;




  75. (5) PHP上传文件大小限制找到

  77.     upload_max_filesize = 2M

  79. 该选项设定PHP所能允许最大上传文件大小,默认为2MB。根据实际应用需求,可以适当增大该设置。
  80. (6) 几个地方的检查
  81. 查找:display_errors
  82. 如果是On的话改成Off

  84. 打开magic_quotes_gpc来防止SQL注入,这个默认是关闭的
  85. 查找:magic_quotes_gpc
  86. 如果是Off的话改成On

  88. (7)调整PHP sesson信息存放类型和位置

  90. session.save_handler = files

  92. ;存储和检索与会话关联的数据的处理器名字,默认为文件("files"

  94. ;如果想要使用自定义的处理器(如基于数据库的处理器),可用"user"

  96. ;设为"memcache"则可以使用memcache作为会话处理器(需要指定"--enable-memcache-session"编译选项)。

  98. ; session.save_path = "/tmp"

  100. ;传递给存储处理器的参数,对于files处理器,此值是创建会话数据文件的路径。

  102. 可以直接用memcached来作为PHP的session.save_handler

  104. 1.安装memcached服务端软件(略)
  105. 注意:memcached用libevebt来作事件驱动,要先安装libevent

  107. 2.安装memcache客户端(略)

  109. 3.配置
  110. 修改配置文件,在php.ini中全局设置;
  111. web 集群session共享存储设置:
  112. 默认php.ini中session的类型和配置路径:

  114. #session.save_handler = files

  116. #session.save_path = "/tmp"

  118. 修改成如下配置:

  120. session.save_handler = memcache

  122. session.save_path = "tcp://10.0.0.18:11211"

  124. 提示:

  126. 1)10.0.0.18:11211为memcache数据库缓存的IP及端口

  128. 2)上述适合LAMP、LNMP环境

  130. 3)memcache服务器也可以是多台通过hash调度

阅读(1397) | 评论(0) | 转发(0) |
0

上一篇:Nginx+FastCGI的运行原理

下一篇:php-fpm.conf重要参数优化详解

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6