system()
函数),对大部分的文件操作函数进行权限控制,同时不允许对某些关键文件进行修改(例如 /etc/passwd)。但是,默认的 php.ini 配置文件并没有启用安全模式。system()
函数),对大部分的文件操作函数进行权限控制,同时不允许对某些关键文件进行修改(例如 /etc/passwd)。但是,默认的 php.ini 配置文件并没有启用安全模式。safe_mode_gid
选项被关闭,PHP 脚本能够对文件进行访问,且相同用户组的用户也能够对该文件进行访问。open_basedir
选项能够控制 PHP 脚本只能访问指定的目录,这样能够避免 PHP 脚本访问不应该访问的文件,一定程度下降低了 phpshell 的危害。一般情况下,可以设置为只能访问网站目录:system()
等在内的执行命令的 PHP 函数,以及能够查看 PHP 信息的phpinfo()
等函数,那么您可以通过以下设置禁止这些函数:telnet <domain> 80
尝试连接您的服务器的时候,将无法看到 PHP 的版本信息。$_GET['var']
命令来进行获取,在进行 PHP 程序设计时需要注意。magic_quotes_gpc
选项默认是关闭的。如果打开该选项,PHP 将自动把用户提交对 SQL 查询的请求进行转换(例如,把 ’ 转换为 \’ 等),这对于防止 SQL 注入攻击有很大作用,因此建议您将该选项设置为: