基本配置-语法
大小写敏感
directive = value(指令 = 值)
foo=bar#FOO=bar
运算符
|,&,~,!
空值的表达方式
foo =;
foo = none;
foo =”none”;
基本配置-安全模式
安全模式
safe mode = off
安全模式,用来限制文档的存取、限制环境变量的存取,控制外部程序的执行。
本特性已在PHP5.4.0被移除
限制变量存取
safemode_allowed_env_vars = string
指定PHP程序可以改变的环境变量的前缀当这个选项的值为空时,那么php可以改变任何环境变量。如:safe_mode_allowed_env_vars = PHP,当这个选项的值为空时,那么php可以改变任何环境变量
外部程序执行目录
safe_mode_exec_dir = “E:\Local Test\WWW”
基本配置-控制变量
全局变量注册开关
register_globals = off
php.ini的register_globals选项的默认值预设为Off,在4.2版本之前是默认开启的,当register_globals的设定为On时,程序可以接收来自服务器的各种环境变量,包括表单提交的变量,这是对服务器来讲是非常不安全的所以我们不能让它注册为全局变量。
register_globals=Off时,服务器端获取数据的时候用$_GET[‘name’]来获取数据
register_globals=On时,服务端使用POST或者GET提交的变量,都将自动使用全局变量的值来接受值
魔术引号自动过滤
magic_quotes_gpc= on
本特性已在PHP5.4.0被移除magic_quotes_gpc = Off 在php.ini里是默认关闭的,如果它打开后将自动把用户提交对sql的查询语句进行转换,如果设置成ON的话,php会把所有的单引号(””),双引号(”””),反斜杠(\”)和空字符(NULL)加上反斜杠进行转义,它会影响HTTP请求的数据有(GET,POST,Cookies),开启它会提高网站的安全性,当然,您也可以使用addslashes来转义提交的HTTP 请求数据,或者用stripslashes来删除转义
基本配置-远程文件
是否允许包含远程文件
allow_url_include = off
该配置为on的情况下,可以直接包含远程文件,若包含的变量为可控的情况下,可以直接控制变量来执行PHP代码
是否允许打开远程文件
allow_url_open = on
允许本地PHP文件通过调用URL重写来打开和关闭写权限,默认的封装协议提供的ftp和http协议来访问文件。
基本配置-目录权限
HTTP头部版本信息
expose_php = off
防止了通过hitp头部泄露的php版本信息
文件上传临时目录
upload_tmp_dir =
上传文件临时保存的目录,如果不设置的话,则采用系统的临时目录
用户可访问目录
open_basedir = “E:\Local Test\WWW”
能够控制PHP脚本只能访问指定的目录,这样能够避免PHP脚本访问,不应该访问的文件,一定程度上限制了phpshell的危害
基本配置-错误信息
内部错误选项
display_errors = on
表明显示PHP脚本的内部错误,网站发布后建议关闭PHP的错误回显,在调试的时候通常把PHP错误显示打开
错误报告级别
error_reporting = E_ALL&~E_NOTICE
这个设置的作用是将错误级别调到最高,显示所有问题,方便排错
若有收获,就点个赞吧
0 人点赞
