• PHP代码审计1—PHP.ini的那些事


    一、前言

    Php默认很多选项是不安全的,给攻击者留下了很多利用的机会。

    Php.ini中分号开头行为注释行,配置大都为“指令名=值”的形式,这里需要注意的是php.ini对指令名大小写敏感,a=aaa和A=aaa是不一样的。而php.ini中的值可以是字符串、数字、php常量、ini常量、表达式等。配置文件分了很多部分,例如模块部分、php全局配置、数据库配置等。

    以下有些参数设置在php高版本中已被移除,低版本存在,有些服务器使用的php版本依然是老版本没有升级,如果是非必要情况,建议升级PHP的版本到PHP 7.0以上。

    二、PHP安全参数配置

    • 参数1:register_globals

      它会影响php如何接受传递过来的参数,其作用是注册为全局变量,开启后,传递来的参数会被注册为全局变量直接使用。此参数建议关闭,现在基本默认都是关闭的,而且新版本已经没有这个选项了,低版本存在会开启。
      
      • 1
    • 参数2:magic_quotes_gpc

      开启此参数后,$_POST、$_GET、$_COOKIE接受到的单引号、双引号、反斜杠、空字符会加上\符号进行转义,可提高安全性,建议开启。这个选项高版本也没有了。
      
      • 1
    • 参数3:display_errors

    此参数用来定位错误,错误信息会泄露程序、服务器、数据库等敏感信息,有利益攻击者信息搜集,建议关闭。(测试环境可开启,方便调试)
    
    • 1
    • 参数4:safe_mode

      安全模式,开启后能够控制php中的一些函数,例如system,同时对很多文件操作函数进行了权限控制,且不允许对关键文件进行操作,例如/etc/passwd。此模式默认关闭,需要设置safe_mode=on开启。这个模式在高版本中也被移除。
      此选项在开启的情况下,会对一部分PHP函数进行限制,
      比如系统文件操作的函数:ckdir,copy,fopen,inclode,require,link,mkdir,touck......
      又比如执行系统命令相关的函数也会被禁用:system,exxec,shell_exec,pasathru,popen.....
      
      • 1
      • 2
      • 3
      • 4
    • 参数5:open_basedir

      其可以控制php能访问哪些目录,避免php脚本访问不该访问的文件,一定程度上可降低webshell的危害,一般设置为只能访问网站目录,例如open_basedir=/var/www/html。
      在没有配置之前,我们getshell之后,访问其他路径文件,比如/etc/目录下的文件是可以访问的。
      但是当配置了之后,则只能看到被限制的目录:
      
      • 1
      • 2
      • 3

      在这里插入图片描述

    • 参数6: disable_functions

      这个配置会限制一些对系统危害比较大的函数,例如phpinfo、system、exec等,这里注意的是这些函数并不是默认限制的,具体限制哪些需要手动配置。建议限制以下函数:
      disable_functions=phpinfo、passthru、exec、system、chroot、scandir、chgrp、chown、shell_exec、proc_Open、proc_get_status、ini_alter、ini_restore、dl、pfsockopen、openlog、syslog、readlink、symlink、popepassthru、stream_socket_server.
      
      • 1
      • 2
    • 参数7: com.allow_dcom

      当com.allow_dcom配置为true时,php允许使用com函数来创建系统组件以此来运行系统命令,建议将其设置为false。
      
      • 1
    • 参数8: expose_php

      此参数决定是否在HTTP响应头中暴漏php的版本,默认为on,建议设置为off。
      
      
      • 1
      • 2
    • 参数9: allow_url_fopen

      允许打开远程文件,默认 on
      
      • 1
    • 参数10: allow_url_include

      在使用include, include_once, require, require_once进行远程文件包含时,需要打开allow_url_fopen 默认允许。
      
      • 1

    三、PHP其他常规参数配置

    1、文件上传相关

    • 参数1:file_uploads

      默认 ‘1’ ,允许http上传文件
      
      • 1
    • 参数2:upload_tmp_dir

      默认NULL,上传文件时用于存储文件的临时目录。php运行用户可写,未设置则使用系统默认值。如果开启了openbase_dir
      
      • 1
    • 参数3:uload_max_filesize

      上传文件的大小限制,值为整数时,则单位为字节数,支持 K,M,G速记符,默认2M
      
      • 1
    • 参数4:max_file_uploads

      允许同时上传的最大文件数,默认20
      
      • 1

    2、数据处理相关

    • 参数1:enable_post_data_reading

      默认值为1,禁用此选项将导致不填充 $_POST 和 $_FILES。读取 postdata 的唯一方法就是使用 php://input stream wrapper。这对于代理请求或以高内存效率的方式处理 POST 数据非常有用
      
      • 1
    • 参数2: post_max_size

      默认8M,设置post传输数据最大值,此参数会影响文件上传,upload_max_size应小于该参数
      
      • 1
    • 参数3:default_mimitype

      默认“text/html”	,
      
      • 1
    • 参数4:default_charset

      设置网站编码。默认UTF-8,该值影响多个函数的编码参数,htmlentities(), html_entity_decode() ,htmlspecialchars(),iconv , mbstring等
      
      
      • 1
      • 2

    3、日志相关

    • 参数1: error_reporting

      默认为空,设置错误级别,生产环境建议设置 E_ALL & ~E_DEPRECATED & ~E_STRICT,开发环境设置为E_ALL
      
      • 1
    • 参数2: display_errors

      是否将错误信息输出到显示屏幕,生产环境建议关闭。如果设置为stderr 则输出到stderr而不是strout,默认为1,允许输出
      
      • 1
    • 参数3: log_errors

      默认为0,设置是否将脚本运行的错误信息记录到服务器错误日志或者error_log之中。
      
      • 1
    • 参数4:error_log

      默认为空,设置脚本错误将被记录到的文件。该文件必须是web服务器用户可写的。如果特殊值 syslog 被设置,则将错误信息发送到系统日志记录器。
      
      • 1
    • 参数5:log_error_max_length

      设置 log_errors 的最大字节数. 在 error_log 会添加有关错误源的信息。默认值为1024,如果设置为0表示不限长度。该长度设置对记录的错误,显示的错误,以及 $php_errormsg都会有限制作用。
      
      • 1
    • 参数6: ignore_repeated_errors

      不记录重复的信息。重复的错误必须出现在同一个文件中的同一行代码上,除非 ignore_repeated_source 设置为true。
      
      • 1

    4、其他重要参数

    • 参数1:max_execution_time
    默认30,max_execution_time只影响脚本本身执行的时间。任何发生在诸如使用system()的系统调用,流操作,数据库操作等的脚本执行的最大时间不包括其中
    
    • 1
    • 参数2:memory_limit
    设置脚本允许分配的最大内存。支持整型,速记符,不限制内存则设置为 “-1”,默认128M
    
    • 1
    • 参数3: disable_classes
     禁用某些类;用逗号分隔类名;只能在php.ini中设置
    
    • 1

    四、参考资料

    • https://blog.csdn.net/fageweiketang/article/details/103483146
    • https://blog.csdn.net/Jacksun_huang/article/details/88572828
    • https://www.jb51.net/article/199367.htm
    • https://blog.csdn.net/weixin_43197795/article/details/108127264
  • 相关阅读:
    (附源码)springboot在线考试系统 毕业设计 160935
    电脑入门:路由器访问控制列表基础知识
    【更新!】3dMax材质ID随机生成器插件MaterialIDsRandomGenerator v2.1.2使用教程
    JavaScript 在 HTML 中的应用
    python爬虫基础-request请求头
    【owt】owt-client-native-p2p-e2e-test vs2017构建2 :测试单元构建及运行
    微信小程序:单行输入和多行输入组件
    DOM的增删改
    如何理解Linux字符设备驱动?
    SASE和零信任--傻傻分不清楚
  • 原文地址:https://blog.csdn.net/qq_45590334/article/details/125417978