以下是Ubuntu下PHP的安全設置要點:
-
更新系統與軟件
定期更新系統和PHP及其模塊���,修復安全漏洞:
sudo apt update && sudo apt upgrade -y
-
配置php.ini關鍵參數
- 錯誤報告:關閉詳細錯誤顯示����,記錄日志
display_errors = Off
log_errors = On
error_log = /var/log/php_errors.log
- 文件上傳限制:限制大小��、類型���,禁止執行上傳目錄腳本
upload_max_filesize = 2M
post_max_size = 8M
file_uploads = On
- 會話安全:啟用HTTPS傳輸���、HttpOnly和SameSite屬性
session.cookie_secure = On
session.cookie_httponly = On
session.cookie_samesite = Strict
- 禁用危險函數:如
exec, shell_exec, system等disable_functions = exec,shell_exec,system
- 啟用OPcache:提升性能并減少安全風險
opcache.enable=1
-
Web服務器配置
- Apache:使用
mod_security防火墻模塊��,限制訪問敏感目錄�。
- Nginx:禁止訪問
.php文件的非必要路徑����,如上傳目錄����。
-
數據庫安全
- 使用預處理語句防止SQL注入����。
- 為數據庫用戶設置強密碼����,限制最小權限��。
-
權限與文件管理
- 確保PHP項目目錄歸屬
www-data用戶����,限制文件權限�。
- 禁止直接訪問敏感文件(如配置文件)��。
-
啟用HTTPS與加密
使用Let’s Encrypt免費SSL證書���,強制HTTPS傳輸�。
-
安全工具與審計
- 定期掃描漏洞(如使用OWASP ZAP)���。
- 監控訪問日志與錯誤日志���,及時發現異常��。
修改配置后需重啟服務生效:
sudo systemctl restart apache2
sudo systemctl restart php7.x-fpm
參考來源:
