Ubuntu PHP如何配置安全選項

在Ubuntu上配置PHP安全選項，可以通過修改PHP的配置文件php.ini來實現。以下是一些常見的安全選項及其配置方法：

1. 禁用危險函數： 打開php.ini文件，找到并注釋掉或刪除一些危險的函數，例如：

   disable_functions = eval,assert,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
   

2. 設置文件上傳限制： 限制上傳文件的大小和類型，以防止惡意文件上傳：

   upload_max_filesize = 2M
   post_max_size = 8M
   file_uploads = On
   

3. 限制錯誤報告： 在生產環境中，禁用錯誤報告以防止敏感信息泄露：

   display_errors = Off
   log_errors = On
   error_log = /var/log/php_errors.log
   

4. 設置會話安全： 使用安全的會話管理選項：

   session.cookie_secure = On
   session.cookie_httponly = On
   session.cookie_samesite = Strict
   

5. 啟用OPcache： 啟用OPcache可以提高PHP性能并增加安全性：

   opcache.enable=1
   opcache.memory_consumption=128
   opcache.interned_strings_buffer=8
   opcache.max_accelerated_files=4000
   opcache.revalidate_freq=60
   

6. 設置內存限制： 限制PHP腳本的內存使用，以防止資源耗盡攻擊：

   memory_limit = 128M
   

7. 啟用安全頭： 添加一些安全相關的HTTP頭，例如Content Security Policy (CSP):

   header("Content-Security-Policy: default-src 'self'; script-src 'self' https://trustedscripts.example.com; object-src 'none';");
   

8. 配置數據庫連接： 使用預處理語句和參數綁定來防止SQL注入：

   $stmt = $pdo->prepare('SELECT * FROM users WHERE id = :id');
   $stmt->bindParam(':id', $id);
   $id = 1;
   $stmt->execute();
   

9. 使用HTTPS： 確保所有通信都通過HTTPS進行，以防止中間人攻擊。

10. 定期更新PHP和依賴庫： 定期更新PHP和相關的依賴庫，以修復已知的安全漏洞。

要編輯php.ini文件，可以使用以下命令：

sudo nano /etc/php/7.4/cli/php.ini  # 對于CLI模式
sudo nano /etc/php/7.4/apache2/php.ini  # 對于Apache模式
sudo nano /etc/php/7.4/fpm/php.ini  # 對于PHP-FPM模式

請根據你的PHP版本和Web服務器類型選擇正確的php.ini文件路徑。

完成配置后，重啟相應的服務以使更改生效：

sudo systemctl restart apache2  # 對于Apache
sudo systemctl restart php7.4-fpm  # 對于PHP-FPM

通過這些步驟，你可以顯著提高Ubuntu上PHP應用的安全性。