摘要：是否啟用安全模式。提示此參數(shù)已經(jīng)沒有了關(guān)閉危險(xiǎn)函數(shù)如果打開了安全模式，那么函數(shù)禁止是不需要的，但是我們?yōu)榱税踩紤]還是設(shè)置。

1、PHP引擎緩存加速
常見四種軟件：
1.eAccelerator
2.Zendcache
3.xcache
4.apc
5.zendopcache php5.5自帶
2、使用tmpfs作為緩存加速緩存的文件目錄
[root@web02 ~]# mount -t tmpfs tmpfs /dev/shm -o size=256m
[root@web02 ~]# mount -t tmpfs /dev/shm/ /tmp/eaccelerator/
[root@web02 ~]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda3 6.6G 3.9G 2.5G 62% /
/dev/sda1 190M 36M 145M 20% /boot
tmpfs 256M 0 256M 0% /dev/shm
/dev/shm 238M 0 238M 0% /tmp/eaccelerator
提示：

上傳圖片縮略臨時(shí)處理的目錄/tmp

2.其他加速器臨時(shí)目錄/tmp/eacclerator

tmpfs是一種基于內(nèi)存的文件系統(tǒng)，它和虛擬磁盤ramdisk比較類似像，但不完全相同，和ramdisk一樣，tmpfs可以使用RAM 但它也可以使用swap分區(qū)來存儲(chǔ)。而且傳統(tǒng)的ramdisk是個(gè)塊設(shè)備，要用mkfs來格式化它，才能真正地使用它；而tmpfs是一個(gè)文件系統(tǒng)，并不是塊設(shè)備，只是安裝它，就可以使用了。tmpfs是最好的基于RAM的文件系統(tǒng)

更多解釋
3、php.ini參數(shù)調(diào)優(yōu)

無論是apache還是nginx，php.ini都是適合的。而php-fpm.conf適合nginx+fastcgi配置。首選產(chǎn)品環(huán)境的php.ini（php.ini-production）

[root@web02 ~]# ls /home/oldboy/tools/php-5.5.32|grep php.ini
php.ini-development
php.ini-production

兩者的區(qū)別：生產(chǎn)場(chǎng)景php.ini的日志都是關(guān)閉或者輸出到文件中的。所以，我們?cè)偕a(chǎn)場(chǎng)景把非程序(php引擎)上輸出都關(guān)閉或隱藏

3.1 打開php的安全模式

php的安全模式是個(gè)非常重要的php內(nèi)嵌的安全機(jī)制，能夠控制一些php中的函數(shù)執(zhí)行，比如system(),同時(shí)把很多文件操作的函數(shù)進(jìn)行了權(quán)限控制。

safe_mode = On
；是否啟用安全模式。
；打開時(shí)，PHP將檢查當(dāng)前腳本的擁有者是否被操作的文件的擁有者相同
3.2 用戶組安全

當(dāng)safe_mode打開時(shí)，safe_mode_gid被關(guān)閉，那么php腳本能夠?qū)ξ募M(jìn)行訪問，并且相同組的用戶也能夠?qū)ξ募M(jìn)行訪問 建議設(shè)置為：

safe_mode_gid = Off

如果不進(jìn)行設(shè)置，可能我們無法對(duì)我們服務(wù)器網(wǎng)站目錄下的文件進(jìn)行操作了，比如我們需要對(duì)文件進(jìn)行操作的時(shí)候。php5.3.27默認(rèn)為 safe_mode_gid = Off。

提示：5.5 此參數(shù)已經(jīng)沒有了
3.3 關(guān)閉危險(xiǎn)函數(shù)

如果打開了安全模式，那么函數(shù)禁止是不需要的，但是我們?yōu)榱税踩紤]還是設(shè)置。比如，我們覺得不希望執(zhí)行包括system()等能執(zhí)行命令的php函數(shù)，或者能夠查看php信息的phpinfo()等函數(shù)，那么我們就禁止它們。

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

如果你要禁止任何文件和目錄的操作，那么可以關(guān)閉很多文件操作

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_get_contents,fpus,fwrite,chgrp,chmod,chown

以上只是列了部分不叫常用的文件處理函數(shù)，你也可以把上面執(zhí)行命令函數(shù)和這個(gè)函數(shù)結(jié)合，就能夠抵制大部分的phpshell了

企業(yè)面試題：
下列PHP函數(shù)中，會(huì)對(duì)系統(tǒng)產(chǎn)生安全隱患降低安全的函數(shù)有？
A.md5() B.phpinfo() C.shell_exec() D.exec()
答案：B、C、D
3.4 關(guān)閉PHP版本信息在http頭中的泄漏

我們?yōu)榱朔乐购诳瞳@取服務(wù)器中php版本信息，可以關(guān)閉該信息在http頭中

expose_php = Off
；是否暴露PHP被安裝在服務(wù)器上的事實(shí)（在http中加上其前面）
；它不會(huì)有安全上的直接危險(xiǎn)，但它使得客戶端知道服務(wù)器上安裝了PHP
例子：

優(yōu)化后

3.5 關(guān)閉注冊(cè)全局變量

在PHP中提交的變量，包括使用POST或者GET提交的變量，都會(huì)自動(dòng)注冊(cè)為全局變量，能夠直接訪問，這是對(duì)服務(wù)器非常不安全的，所以我們不能讓它注冊(cè)為全局變量，就把注冊(cè)全局改變選項(xiàng)關(guān)閉

register_globals = Off
;是否將E,G,P,C,S 變量注冊(cè)為全局變量
;打開該指令可能會(huì)導(dǎo)致嚴(yán)重的安全問題，除非你的腳本經(jīng)過非常仔細(xì)的檢查。
;推薦使用預(yù)定義的超全局變量：$_ENV.$_GET,$_POST,$_COOKIE,$_SERVER
;該指令受variables_order指令的影響。
提示：此參數(shù)5.5沒有
3.6 打開magic_quotes_gpc 來防止SQL注入

SQL注入是非常危險(xiǎn)的問題，輕則網(wǎng)站后臺(tái)被入侵，重則整個(gè)服務(wù)器淪陷，所以一定要小心。

magic_quotes_gpc = Off

這個(gè)默認(rèn)是關(guān)閉的，如果它打開將自動(dòng)把用戶提交對(duì)sql的查詢進(jìn)行轉(zhuǎn)換，比如把‘轉(zhuǎn)為"等，這對(duì)防止sql注入有重大作用。

magic_quotes_gpc = On
提示：5.5已經(jīng)沒有
SQL注入防范：
Nginx 可以使用WA，防止SQL注入（nginx 基于lua模塊開發(fā)WAF）
apache使用mod_security和mod_evasive 來防止SQL注入
3.7 錯(cuò)誤信息控制

一般php在沒有連接到數(shù)據(jù)庫或者其他情況會(huì)有提示錯(cuò)誤，一般錯(cuò)誤信息中會(huì)包含php腳本當(dāng)前的路徑信息或者查詢的SQL語句等信息，這類信息提供給黑客后，是不安全的，所以一般服務(wù)器建議禁止錯(cuò)誤提示。

display_errors = Off
;是否將錯(cuò)誤信息作為輸出的一部分顯示給終端用戶，應(yīng)用調(diào)試時(shí)，可以打開，方便查看錯(cuò)誤
;最終發(fā)布的web站點(diǎn)上，強(qiáng)烈建議你關(guān)掉這個(gè)特性，并使用錯(cuò)誤日志代替
設(shè)置為
display_errors = Off (php5.3.27默認(rèn)即為display_errors = Off)

如果確實(shí)是要顯示錯(cuò)誤信息，一定設(shè)置顯示錯(cuò)誤的級(jí)別，計(jì)入只顯示警告以上的信息。

信息：
error_reporting = E_WARNING & E_ERROR
當(dāng)然，最好是關(guān)閉錯(cuò)誤提示。
3.8 錯(cuò)誤日志
建議在關(guān)閉display_errors 后能夠把錯(cuò)誤信息記錄下來，便于查找服務(wù)器運(yùn)行的原因：
log_errors = On (php5.3.27 默認(rèn)即為log_errors = On)
同時(shí)也要設(shè)置錯(cuò)誤日志存放路徑的目錄，建議根apache的日志存在一起
error_log = /app/logs/php_error.log
注意：給文件必須允許apache用戶的組具有寫的權(quán)限
日志切割可以使用cp在清空
4、部分資源限制參數(shù)優(yōu)化
1.設(shè)置每個(gè)腳本運(yùn)行的最長(zhǎng)時(shí)間
當(dāng)無法上傳較大的文件或者后臺(tái)備份數(shù)據(jù)經(jīng)常超時(shí)，此時(shí)需要調(diào)整如下：
max_execution_time = 30
;Maximum amout of memory a script may consume (128MB)
;每個(gè)腳本最大允許執(zhí)行時(shí)間(秒)，0表示沒有限制
;這個(gè)參數(shù)有助于阻止劣質(zhì)腳本無休止的占用服務(wù)器資源。
;該指令僅影響腳本本身的運(yùn)行時(shí)間，任何其他花費(fèi)在腳本運(yùn)行之外的事件
;如果system()/sleep()函數(shù)的使用、數(shù)據(jù)庫查詢、文件上傳等，都不包括在內(nèi)
;在安全模式下，你不能用int_set()在運(yùn)行時(shí)改變這個(gè)設(shè)置
2.每個(gè)腳本使用的最大內(nèi)存
memory_limit = 128M
;一個(gè)腳本所能狗申請(qǐng)到的最大內(nèi)存字節(jié)數(shù)（可以使用K/M作為單位）
;這有助于防止劣質(zhì)腳本消耗完服務(wù)器上的所有內(nèi)存。
;要能夠使用該指令必須在編譯時(shí)使用“--enable-memory-limit”配置選項(xiàng)
;如果要取消內(nèi)存限制，則必須將其設(shè)為-1
;設(shè)置了該指令后，memory_get_usage()函數(shù)將變?yōu)榭捎?br>3.每個(gè)腳本等待輸入數(shù)據(jù)最長(zhǎng)時(shí)間
max_input_time = -1
;每個(gè)腳本解析輸入數(shù)據(jù)(POST,GET,upload)的最大允許時(shí)間(秒)
;-1 表示不限制。
設(shè)置為
max_input_time = 60
4.上載文件的最大許可大小

當(dāng)上傳較大文件時(shí)，需要調(diào)整如下參數(shù)：

upload_max_filesize = 2M;
;上載文件最大許可大小，自己改吧，一些圖片論壇需要這個(gè)更大的值。
5、部分安全優(yōu)化參數(shù)
1.禁止打開遠(yuǎn)程地址，例如：php include的那個(gè)漏洞。就是在一個(gè)php程序中include了變量，那么入侵者就可以利用這個(gè)控制服務(wù)器在本地執(zhí)行遠(yuǎn)程的一個(gè)php程序中include了變量，那么入侵者就可以利用這個(gè)控制服務(wù)器在本地執(zhí)行遠(yuǎn)程的一個(gè)php程序，例如phpshell，所以我們關(guān)閉這個(gè)
allow_url_fopen = Off
2.設(shè)置：cgi.fix_pathinfo=0 防止Nginx文件類似錯(cuò)誤解析漏洞
注：2010年5月23日14:00前閱讀本文的朋友，請(qǐng)按目前v1.1版本的最新配置進(jìn)行設(shè)置。
　　昨日，80Sec 爆出Nginx具有嚴(yán)重的0day漏洞，詳見《Nginx文件類型錯(cuò)誤解析漏洞》。只要用戶擁有上傳圖片權(quán)限的Nginx+PHP服務(wù)器，就有被入侵的可能。

　　其實(shí)此漏洞并不是Nginx的漏洞，而是PHP PATH_INFO的漏洞，詳見：http://bugs.php.net/bug.php?i...

　　例如用戶上傳了一張照片，訪問地址為http://www.domain.com/images/...，而test.jpg文件內(nèi)的內(nèi)容實(shí)際上是PHP代碼時(shí)，通過http://www.domain.com/images/...。

　網(wǎng)上提供的臨時(shí)解決方法有：
　　方法①、修改php.ini，設(shè)置cgi.fix_pathinfo = 0;然后重啟php-cgi。此修改會(huì)影響到使用PATH_INFO偽靜態(tài)的應(yīng)用，例如我以前博文的URL：http://blog.zyan.cc/read.php/... 就不能訪問了。

　　方法②、在nginx的配置文件添加如下內(nèi)容后重啟：if ( $fastcgi_script_name ~ ../.php ) {return 403;}。該匹配會(huì)影響類似 http://www.domain.com/softwar...（5.0為目錄），http://www.domain.com/goto.ph... 的URL訪問。
　
　方法③、對(duì)于存儲(chǔ)圖片的location{...}，或虛擬主機(jī)server{...}，只允許純靜態(tài)訪問，不配置PHP訪問。例如在金山逍遙網(wǎng)論壇、
SNS上傳的圖片、附件，會(huì)傳送到專門的圖片、附件存儲(chǔ)服務(wù)器集群上（pic.xoyo.com），這組服務(wù)器提供純靜態(tài)服務(wù)，無任何動(dòng)態(tài)PHP配置。各大網(wǎng)站幾乎全部進(jìn)行了圖片服務(wù)器分離，因此Nginx的此次漏洞對(duì)大型網(wǎng)站影響不大。
本文轉(zhuǎn)載
6、調(diào)整php sesson 信息存放類型和位置
session.save_handler = files
;存儲(chǔ)和檢索與會(huì)話關(guān)聯(lián)的數(shù)據(jù)的處理器名字，默認(rèn)為文件("files")
;如果想要使用自定義的處理器(如基于數(shù)據(jù)庫的處理器)，可用“user”
;設(shè)為“memcached”則可以使用memcached作為會(huì)話處理器(需要指定“--enable-memcache-seesion”編譯選項(xiàng))
;session.save_path = "/tmp"
;傳遞給存儲(chǔ)處理器的參數(shù)，對(duì)于files處理器，此值是創(chuàng)建會(huì)話數(shù)據(jù)文件的路徑。
可以直接memcached來作php的session.save_handler.
修改成如下配置：
session.save_handler = memcache
session.save_path = "tcp://10.0.0.18:11211"
提示：
1）10.0.0.18:11211 為memcached數(shù)據(jù)庫緩存的IP及端口。
2）上述適合LNMP,LAMP環(huán)境。
3）memcached服務(wù)器也可以是多臺(tái)通過hash調(diào)度。

php5.3 配置ini *為重點(diǎn)
配置php.ini
*338 行 設(shè)置為 safe_mode = On #開啟安全模式
435 行 設(shè)置為 expose_php = Off #關(guān)閉版本信息
538 行 設(shè)置為 display_errors = Off #錯(cuò)誤信息控制，測(cè)試的時(shí)候開啟

559 行 設(shè)置為 log_errors = On #打開log 日志
643 行 設(shè)置為 error_log = /app/logs/php_errors.log #log日志得路徑（需log_errors 為 On 才能生效）
*703 行 設(shè)置為 register_globals = Off #關(guān)閉全局變量（默認(rèn)即為關(guān)閉，萬萬不能開啟）
*756 行 設(shè)置為 magic_quotes_gpc = On #防止SQL注入
902 行 設(shè)置為 allow_url_fopen = Off #打開遠(yuǎn)程打開（禁止）
854 行 設(shè)置為 cgi.fix_pathinfo=0 #防止Nginx文件類型錯(cuò)誤解析漏洞

444 max_execution_time = 30 #單個(gè)腳本最大運(yùn)行時(shí)間，單位是秒（**開發(fā)插入程序時(shí)可能會(huì)需要把數(shù)值調(diào)大）
454 max_input_time = 60 #單個(gè)腳本等待輸入的最長(zhǎng)時(shí)間
465 memory_limit = 128M #單個(gè)腳本最大使用內(nèi)存，單位為K或M（128M稍大可以適當(dāng)調(diào)小）
891 upload_max_filesize = 2M #上傳文件最大許可
894 max_file_uploads = 20 #可以通過單個(gè)請(qǐng)求上載的最大文件數(shù)
php-fpm.conf優(yōu)化配置

PHP 優(yōu)化前后對(duì)比圖
修改后 修改前
pid = /app/log/php-fpm.pid
error_log = /app/logs/php-fpm.log
log_level = error
events.mechanism = epoll
listen.owner = www
listen.group = www
pm.max_children = 1024
pm.start_servers = 14
pm.min_spare_servers = 5
pm.max_spare_servers = 20
pm.process_idle_timeout = 15s;
pm.max_requests = 2048
slow = /app/logs/$pool.log.slow
rlimit_files = 32768
request_slowlog_timeout = 10
;pid = run/php-fpm.pid
;error_log = log/php-fpm.log
;log_level = notice
;events.mechanism = epoll
;listen.owner = www
;listen.group = www
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3
;pm.process_idle_timeout = 10s;
;pm.max_requests = 500
;slowlog = log/$pool.log.slow
;rlimit_files = 1024
;request_slowlog_timeout = 0
優(yōu)化參數(shù)介紹
error_log = /app/logs/php-fpm.log #指定pid路徑
log_level = error #開啟日志，log級(jí)別為error
events.mechanism = epoll #使用epoll模式
listen.owner = www #使用php的用戶
listen.group = www
pm.max_children = 1024 #php子進(jìn)程數(shù)量
pm.start_servers = 14 #php初始啟動(dòng)子進(jìn)程數(shù)量
pm.min_spare_servers = 5 #php最小空閑進(jìn)程數(shù)量
pm.max_spare_servers = 20 #php最大空閑進(jìn)程數(shù)量
pm.process_idle_timeout = 15s; #進(jìn)程超時(shí)時(shí)間
pm.max_requests = 2048 #每個(gè)子進(jìn)程退出之前可以進(jìn)行的請(qǐng)求數(shù)
slowlog = /app/logs/$pool.log.slow #開啟慢查詢?nèi)罩?執(zhí)行程序時(shí)間長(zhǎng)了可以查看到)
rlimit_files = 32768 #開啟文件描述符數(shù)量
request_slowlog_timeout = 10 #慢查詢的超時(shí)時(shí)間，超時(shí)10秒記錄
溫馨提示：

所有的優(yōu)化都需要看業(yè)務(wù)進(jìn)行操作，否則會(huì)出現(xiàn)問題！

修改配置文件前操作前必須備份！ 操作前必須備份！ 操作前必須備份！