如果遠程執(zhí)行代碼，允許PHP代碼從遠程檢索數(shù)據(jù)功能，如FTP或Web通過PHP來執(zhí)行構建功能。比如：file_get_contents()。 

 

很多程序員使用這些功能，從遠程通過FTP或是HTTP協(xié)議而獲得數(shù)據(jù)。然而，此法在基于PHP應用程序中會造成一個很大的漏洞。由于大部分程序員在傳遞用戶提供的數(shù)據(jù)時沒有做到適當?shù)倪^濾功能，打開安全漏洞并且創(chuàng)建了代碼時注入了漏洞。要解決此問題，需要禁用_url_fopen in /etc/php.d/security.ini，并設置以下命令： 

allow_url_fopen=Off 

除了這個，我還建議禁用_url_include以提高系統(tǒng)的安全性。 allow_url_include=Off

PHP中有很多危險的內置功能，如果使用不當，它可能使你的系統(tǒng)崩潰。你可以創(chuàng)建一個PHP內置功能列表通過編輯/etc/php.d/security.ini來禁用它。

為了提高系統(tǒng)的穩(wěn)定性，強烈建議設置每個腳本解析請求數(shù)據(jù)所花費的時間和腳本可能消耗的最大內存量。正確的配置這些參數(shù)可以防止PHP任何腳本消耗太多的資源或是內存，從而避免系統(tǒng)不安全或降低安全系數(shù)。

max_execution_time = 30 

max_input_time = 30 

memory_limit = 40M 

該open_basedir指令指定的目錄是允許PHP訪問使用fopen()等功能。如果任何腳本試圖訪問超出open_basdir定義的路徑文件，PHP將拒絕打開。值得注意的是，你不能使用一個符號鏈接作為一種變通方法。 

; Limits the PHP process from accessing files outside   

; of specifically designated directories such as /var/www/html/  

; ------------------------------------  

進行適當?shù)陌踩O置：確保Apache作為非root用戶運行，比如www-data或www。對于文件和目錄在基于/var/www/下同樣屬于非root用戶。想要更改所有者，執(zhí)行以下命令： 

 # chown -R apache:apache /var/www/  #編譯保護Apache，PHP和MySQL的配置文件 使用charrt命令編譯保護配置文件 

# chattr +i /etc/php.ini  

 # chattr +i /etc/php.d/*

# chattr +i /etc/my.ini 

# chattr +i /etc/httpd/conf/httpd.conf 

# chattr +i /etc/  

使用charrt命令可以編譯保護PHP文件或者是文件中的/var/www/html的目錄：

# chattr +i /var/www/html/