程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> PHP 配置open_basedir 讓每個虛擬站點獨立運行

PHP 配置open_basedir 讓每個虛擬站點獨立運行

編輯:關於PHP編程

好幾年前,我在抱怨Apache運行PHP的安全性不行,只要一個站點被人拿下,服務器上的其他站點就會跟著遭殃。當時覺得這跟IIS相比,實在太差了,因為在IIS裡,可以在安全性裡設置一個站點甚至一個目錄訪問時使用的匿名賬號,只要各個站點使用的賬號不一樣,站點間的安全就不會互相影響。這幾天才發現,原來當時的想法是錯的,在Apache下,也可以配置PHP來實現各站點間的相互獨立運行,雖然不能詳細控制以某個用戶運行某個站點,但至少不會再出現整個服務器被拿下的局面。

通過配置PHP的open_basedir即可以實現該控制,這個配置在IIS下也有用,但這裡只講Apache下的配置。

open_basedir可將用戶訪問文件的活動范圍限制在指定的區域,通常是其家目錄的路徑,也
可用符號"."來代表當前目錄。open_basedir也可以同時設置多個目錄, 在Windows中用分號分隔目錄,在任何其它系統中用
冒號分隔目錄。當其作用於Apache模塊時,父目錄中的open_basedir路徑自動被繼承。以下以Linux系統下的配置為例

方法一:在php.ini裡配置
open_basedir = .:/tmp/

方法二:在Apache配置的VirtualHost裡設置
php_admin_value open_basedir .:/tmp/

方法三:在Apache配置的Direcotry裡設置
php_admin_value open_basedir .:/tmp/

關於三個配置方法的解釋:
a、方法二的優先級高於方法一,也就是說方法二會覆蓋方法一;方法三的優先級高於方法二,也就是說方法三會覆蓋方法二;
b、配置目錄裡加了“/tmp/”是因為php默認的臨時文件(如上傳的文件、session等)會放在該目錄,所以一般需要添加該目錄,否則部分功能將無法使用;
c、配置目錄裡加了“.”是指運行php文件的當前目錄,這樣做可以避免每個站點一個一個設置;
d、如果站點還使用了站點目錄外的文件,需要單獨在對應VirtualHost設置該目錄;

設置完成後,記得找個PHP網馬(如:phpspy)來玩一玩,測試一下有沒有問題,不出意外,權限應該是控制得相當好的。大家還有什麼PHP安全配置的經驗,歡迎分享交流。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved