當(dāng)時(shí)覺(jué)得這跟IIS相比，實(shí)在太差了，因?yàn)樵贗IS里，可以在安全性里設(shè)置一個(gè)站點(diǎn)甚至一個(gè)目錄訪問(wèn)時(shí)使用的匿名賬號(hào)，只要各個(gè)站點(diǎn)使用的賬號(hào)不一樣，站點(diǎn)間的安全就不會(huì)互相影響。這幾天才發(fā)現(xiàn)，原來(lái)當(dāng)時(shí)的想法是錯(cuò)的，在Apache下，也可以配置PHP來(lái)實(shí)現(xiàn)各站點(diǎn)間的相互獨(dú)立運(yùn)行，雖然不能詳細(xì)控制以某個(gè)用戶運(yùn)行某個(gè)站點(diǎn)，但至少不會(huì)再出現(xiàn)整個(gè)服務(wù)器被拿下的局面。

通過(guò)配置PHP的open_basedir即可以實(shí)現(xiàn)該控制，這個(gè)配置在IIS下也有用，但這里只講Apache下的配置。

open_basedir可將用戶訪問(wèn)文件的活動(dòng)范圍限制在指定的區(qū)域，通常是其家目錄的路徑，也
可用符號(hào)"."來(lái)代表當(dāng)前目錄。open_basedir也可以同時(shí)設(shè)置多個(gè)目錄, 在Windows中用分號(hào)分隔目錄,在任何其它系統(tǒng)中用
冒號(hào)分隔目錄。當(dāng)其作用于Apache模塊時(shí)，父目錄中的open_basedir路徑自動(dòng)被繼承。以下以Linux系統(tǒng)下的配置為例

方法一：在php.ini里配置
open_basedir = .:/tmp/

方法二：在Apache配置的VirtualHost里設(shè)置
php_admin_value open_basedir .:/tmp/

方法三：在Apache配置的Direcotry里設(shè)置
php_admin_value open_basedir .:/tmp/

關(guān)于三個(gè)配置方法的解釋：
a、方法二的優(yōu)先級(jí)高于方法一，也就是說(shuō)方法二會(huì)覆蓋方法一；方法三的優(yōu)先級(jí)高于方法二，也就是說(shuō)方法三會(huì)覆蓋方法二；
b、配置目錄里加了“/tmp/”是因?yàn)閜hp默認(rèn)的臨時(shí)文件（如上傳的文件、session等）會(huì)放在該目錄，所以一般需要添加該目錄，否則部分功能將無(wú)法使用；
c、配置目錄里加了“.”是指運(yùn)行php文件的當(dāng)前目錄，這樣做可以避免每個(gè)站點(diǎn)一個(gè)一個(gè)設(shè)置；
d、如果站點(diǎn)還使用了站點(diǎn)目錄外的文件，需要單獨(dú)在對(duì)應(yīng)VirtualHost設(shè)置該目錄；

設(shè)置完成后，記得找個(gè)PHP網(wǎng)馬（如：phpspy）來(lái)玩一玩，測(cè)試一下有沒(méi)有問(wèn)題，不出意外，權(quán)限應(yīng)該是控制得相當(dāng)好的。
大家還有什么PHP安全配置的經(jīng)驗(yàn)，歡迎分享交流。

最新評(píng)論