PHP是广泛使用的开源服务端脚本语言。通过HTTP或HTTPS协议，Apache Web服务允许用户访问文件或内容。服务端脚本语言的错误配置会导致各种问题。因此，PHP应该小心使用。以下是为系统管理员准备的，安全配置PHP的25个实践事例。

　　用于下文的PHP设置样例

• DocumentRoot：/var/www/html
• 默认Web服务：Apache（可以使用Lighttpd或Nginx代替）
• 默认PHP配置文件：/etc/php.ini
• 默认PHP Extensions配置目录：/etc/php.d/
• PHP安全配置样例文件：/etc/php.d/security.ini（需要使用文本编辑器创建这个文件）
• 操作系统：RHEL / CentOS / Fedora linux（指令应该可以在所有其他Linux发行版，如Debian / Ubuntu，或是Unix-like的操作系统，如OpenBSD / FreeBSD / HP-UX下正常运行）
• PHP服务的默认TCP/UDP端口：none

　　下午列出的大部分操作，都是基于 root 用户能在 bash 或其他现代 shell 上执行操作的假设。

　　样例输出

　　本文使用的操作系统

　　样例输出

　　#1：知彼

　　基于PHP的应用面临着各种各样的攻击：

• XSS：对PHP的Web应用而言，跨站脚本是一个易受攻击的点。攻击者可以利用它盗取用户信息。你可以配置Apache，或是写更安全的PHP代码（验证所有用户输入）来防范XSS攻击
• SQL注入：这是PHP应用中，数据库层的易受攻击点。防范方式同上。常用的方法是，使用MySQL_real_escape_string()对参数进行转义，而后进行SQL查询。
• 文件上传：它可以让访问者在服务器上放置（即上传）文件。这会造成例如，删除服务器文件、数据库，获取用户信息等一系列问题。你可以使用PHP来禁止文件上传，或编写更安全的代码（如检验用户输入，只允许上传png、gif这些图片格式）
• 包含本地与远程文件：攻击者可以使远程服务器打开文件，运行任何PHP代码，然后上传或删除文件，安装后门。可以通过取消远程文件执行的设置来防范
• eval()：这个函数可以使一段字符串如同PHP代码一样执行。它通常被攻击者用于在服务器上隐藏代码和工具。通过配置PHP，取消eval()函数调用来实现
• Sea-surt Attack（Cross-site request forgery，CSRF。跨站请求伪造）：这种攻击会使终端用户在当前账号下执行非指定行为。这会危害终端用户的数据与操作安全。如果目标终端用户的账号用于管理员权限，整个Web应用都会收到威胁。

　　#2：减少内建的PHP模块

　　执行下面指令可以查看当前PHP所编译的模块

　　样例输出：

　　从性能与安全性的角度考虑，我建议使用PHP时减少不必要的模块。例如上面的sqlite3是不必要的。那么可以通过删除或重命名/etc/php.d/sqlite3.ini文件来取消它：

　　或

　　有些模块则只能通过使用重新编译安装PHP来移除。例如，从php.net下载PHP源码后，使用下面指令编译GD，fastcgi和MySQL支持：