Vultr中Nginx环境下PHP安全设置 图文教程

Vultr注册即送$50.我们购买了Vps之后，一般会选择宝塔面板、Oneinstack、LNMP等集成环境大多数都使用Nginx作为WEB服务，Nginx + PHP情况下使用FPM（FastCGI 进程管理器）来执行PHP，这篇文章抛开PHP程序写法不严谨造成的本身漏洞，单从WEB服务和PHP本身设置来加强PHP程序安全。

禁用危险函数

前面我们写了WordPress采集插件，需要使用到终端下的curl，这里可能需要适用到exec,system函数。否则无法采集https的网站。

WordPress 免费开源采集插件 WP-JPost

WordPress 采集插件 WP-JPost 在Windows/Linux 系统环境下安装curl 采集 带ssl的https网站 图文教程

PHP提供的system()等函数可以直接执行系统命令，如果程序限制不严谨或写法不规范,被骇客利用是非常危险的，禁用此类较为危险的函数非常有必要。需要修改php.ini，添加如下内容：

disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,popen

防止跨站攻击

跨站攻击通常表现为A网站被黑之后，骇客利用脚本再次访问B网站或其它目录，最终可能导致所有网站全部沦陷。

open_basedir 参数将php所能打开的文件限制在指定的目录树中，包括文件本身。当程序要使用例如fopen()或file_get_contents()打开一个文件时，这个文件的位置将会被检查。当文件在指定的目录树之外，程序将拒绝打开。open_basedir设置的方法比较多，这里列出几个常用的。

php.ini设置

可以直接修改php.ini直接加入

open_basedir="指定目录"

从PHP脚本上设置

在程序脚本上限制：

ini_set('open_basedir', '指定目录');

通过.user.ini 进行设置

先来看看官方具体是如何解释.user.ini这个文件的：

自 PHP 5.3.0 起，PHP 支持基于每个目录的 .htaccess 风格的 INI 文件。此类文件仅被 CGI／FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果使用 Apache，则用 .htaccess 文件有同样效果。

除了主 php.ini 之外，PHP 还会在每个目录下扫描 INI 文件，从被执行的 PHP 文件所在目录开始一直上升到 web 根目录（$_SERVER[‘DOCUMENT_ROOT’] 所指定的）。如果被执行的 PHP 文件在 web 根目录之外，则只扫描该目录。

在 .user.ini 风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 模式的 INI 设置可被识别。

简而言之，也就是说当PHP以CGI／FastCGI SAPI方式运行时，会去读取一个.user.ini的配置，我们可以在这里面设定open_basedir参数来防止跨站。

在站点根目录下新建一个.user.ini，内容如下：

open_basedir=/data/wwwroot/:/tmp/:/proc/

为防止.user.ini被篡改，可以给这个文件加上隐藏属性。

chattr +i .user.ini

目前已知的宝塔面板，军哥LNMP（lnmp.org）默认使用.user.ini来防止跨站，这个方式非常灵活，可以针对某个网站单独设置。

禁止部分目录执行PHP

大多数PHP框架，如CodeIgniter、ThinkPHP都是单一入口，只需要index.php有入口权限程序就能正常运行。上传目录、静态文件目录完全没必须要赋予PHP执行权限，否则反而可能被利用。nginx可以通过下面的规则来禁止某个目录执行PHP：

#uploads|templets|data 这些目录禁止执行PHP location ~* ^/(uploads|templets|data)/.*.(php|php5)$ {     return 444; }