1.1使用tmpfs作為緩存加速緩存的文件目錄

[root@php-node1 ~]# mount -t tmpfs tmpfs /dev/shm/ -o size=256m

[root@php-node1 ~]# mount -t tmpfs /dev/shm/ /tmp/eaccelerator/

提示：

1、上傳圖片縮略圖臨時處理的目錄/tmp：

2、其他加速器臨時目錄/tmp/eaccelerator/

1.2php.ini參數調優

無論是Apache還是Nginx，php.ini都是適合的。而php-fpm.conf適合nginx+fastcgi方式配置。首先選擇產品環境的php.ini(php.ini-production)

/application/tools/php-5.3.27/php.ini-development

/application/tools/php-5.3.27/php.ini-production

兩者的區別：生產場景php.ini的日志都是關閉或者輸出到文件中的。所以我們生產場景把非程序（PHP引擎）上的輸出都關閉或者隱藏。

1.2.1打開php的安全模式

php的安全模式是個非常重要的php內嵌的安全機制，能夠控制一些php中的函數執行，比如system()，同時把很多文件操作的函數進行了權限控制。

該參數配置如下：

safe_mode = Off

;是否啟用安全模式。

;打開時，PHP將檢查當前腳本的擁有者是否是被操作的文件的擁有者相同

如上，默認的php.ini是沒有打開安全模式的，我們把它打開如下：

safe_mode = On

1.2.2用戶組安全

當safe_mode打開時，safe_mode_gid被關閉，那么php腳本能夠對文件進行訪問，而且相同組的用戶也能夠對文件進行訪問。建議設置為：

safe_mode_gid = off

如果不進行設置，可能我們無法對服務器網站目錄下的文件進行操作了，比如我們需要對文件進行操作的時候。php5.3.27默認為safe_mode_gid = off

1.2.3關閉危險函數

如果打開了安全模式，那么函數禁止是可以不需要的，但是我們為了安全還是考慮進去。比如，我們覺得不希望執行包括system()等在那的能夠執行命令的php函數，或者能夠查看php的信息的phpinfo()等函數，那么我們就可以禁止它們，方法如下：

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

如果你要禁止任何文件和目錄的操作，那么可以關閉很多文件操作

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir.rename,

file,file_get_contets,fputs,fwrite,chgrp,chmod,chown

以上只是列了部分不常見的文件處理函數，你也可以把上面執行命令函數和這個函數結合，就能夠抵制大部分的phpshell了。該參數默認為disable_functions=

1.2.4關閉PHP版本信息在http頭中的泄漏

我們為了防止黑客獲取服務器中的php版本的信息，可以關閉該信息在http頭中。

expose_php = On

;是否暴露PHP被安裝在服務器上的事實（在http頭中加上其簽名）。

;它不會有安全上的直接威脅，但它使得客戶端知道服務器上安裝了PHP。

建議設置為

expose_php = Off

這樣當黑客執行telnet xuliangwei.com 80的時候，那么將無法看到PHP的信息。

1.2.5關閉注冊全局變量

在PHP中提交的變量，包括使用POST或者GET提交的變量，都將自動注冊為全局變量，能夠直接訪問，這是對服務器非常不安全的，所以我們不能讓它注冊為全局變量，就把注冊全局變量選項關閉：

該參數默認配置如下：

register_globals = Off

;是否將E，G，P，C，S變量注冊為全局變量。

;打開該指令可能會導致嚴重的安全問題，除非你的腳本經過非常仔細的檢查。

;推薦使用預定義的超全局變量：$_ENV,$_GET,$_POST,$_COOKIE,$_SERVER

;該指令受variables_order指令的影響。

;PHP6中已經刪除此指令。

建議設置為：

register_globals = Off

1.2.6打開magic_quotes_gpc來防止SQL注入

SQL注入是非常危險的問題，輕則網站后臺被入侵，重則整個服務器淪陷，所以一定要小心。php.ini中有一個設置：

magic_quotes_gpc = Off

這個默認是關閉的，如果它打開后將自動把用戶提交對sql的查詢進行轉換，比如把’轉為\’等，這對防止sql注入有重大作用。所以我們推薦設置為：

magic_quotes_gpc = On

SQL注入防范：

Apache中的mod_security和mod_evasive

Nginx lua waf

1.2.7錯誤信息控制

一般php在沒有連接到數據庫或者其他情況下會又提示錯誤，一般錯誤信息中會包含php腳本當前的路徑信息或者查詢的SQL語句等信息，這類信息提供給黑客后，是不安全的，所以一般服務器建議禁止錯誤提示。

該參數默認配置如下：

display_errors = Off

;是否將錯誤信息作為輸出的一部分顯示給終端用戶。應用調試時，可以打開，方便查看錯誤。

;在最終發布的web站點上，強烈建議你關掉這個特性，并使用錯誤日志代替。

;在最終發布的web站點打開這個特性可能暴露一些安全信息。

;例如你的web服務器上的文件路徑、數據庫規劃或別的信息。

設置為：

display_error = Off?（php5.3.27默認即為off狀態）

如果確實需要顯示錯誤信息，一定要要設置顯示錯誤的級別，比如只顯示警告以上的信息。

error_reporting = E_WARNING & E_ERROR???#當然最好是關閉

1.2.8錯誤日志

建議在關閉display_errors后能夠把錯誤信息記錄下來，便于查找服務器運行的原因：

log_errors = On?(php5.3.27默認即為On)

同時也要設置錯誤日志存放的目錄，建議跟Web服務的日志存在一起。

error_log = /application/logs/php_error.log????#注意：給文件必須允許web用戶和組具有寫的權限

1.3部分資源限制參數優化

1.3.1設置每個腳本運行最長時間

當無法上傳較大的文件或者后臺備份數據經常超時，此時需要調整如下設置：

max_execution_time = 30

;每個腳本最大允許執行時間(秒)，0?表示沒有限制。

;這個參數有助于劣質腳本無休止的占用服務器資源。

;該指令僅影響腳本本身的運行時間，任何其他花費在腳本運行之外的時間。

;如果system()/sleep()函數的使用、數據庫查詢、文件上傳等，都不包括在內。

;在安全模式下，你不能用ini_set()在運行時改變這個設置。

1.3.2每個腳本使用的最大內存

memory_limit = 128M

;一個叫本能所能夠申請到的最大內存字節數(可以使用K和M作為單位)。

;這有助于防止劣質腳本消耗完服務器上的所有內存。

;要能夠使用指令必須在編譯時時間--enable-memory-limit配置選項。

;如果要取消內存限制，則必須將其設為?-1。

;設置了該指令后，memory_get_usage()函數將變為可用。

1.3.3每個腳本等待輸入數據最長時間

max_input_time = -1

;每個腳本解析輸入數據(POST,GET,upload)的最大允許時間(秒)。

;-1?表示不限制。

設置為：

max_input_time = 60;

1.3.4上傳文件最大許可大小

當上傳較大文件時，需要調整如下參數：

upload_max_filesize = 2M;

;上傳文件的最大許可大小，根據公司業務進行調整。

1.3.5部分安全參數優化

1、?禁止打開遠程地址,例如遠程執行phpshell,關閉如下：

allow_url_fopen = Off

?

2、設定：cgi.fix_pathinfo=0防止Nginx文件類型錯誤解析漏洞。

轉載于:https://www.cnblogs.com/xuliangwei/p/8626114.html

總結

以上是生活随笔為你收集整理的PHP5 ini配置文件优化的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。