PHP是流行的Web开发语言,也是部署广泛的网站运行时环境。
PHP配置的安全选项
在配置PHP运行时环境时,需要重点关注的安全选项包括:
禁止将PHP报错信息输出给用户。如果PHP报错信息直接输出给用户,则可能会泄露服务器或者数据库配置信息。如图8-5所示:
禁止将PHP报错信息输出给用户的配置方法是在php.ini中增加以下内容:
expose_php = Off #在HTTP头部中隐藏PHP信息
error_reporting = E_ALL #报告所有错误和警告
display_errors = Off #禁止把错误信息显示在客户端输出中
display_startup_errors = Off #禁止把启动错误显示在客户端输出中
log_errors = On #记录错误
error_log = /valid_path/PHP-logs/php_error.log #指定错误文件的路径
ignore_repeated_errors = Off #禁止忽略重复的错误
PHP的通用安全配置。在php.ini中增加以下内容: