国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

[PHP] – 性能優化 – Fcgi進程及PHP解析優化(1)

zhaot / 1562人閱讀

摘要:是否啟用安全模式。提示此參數已經沒有了關閉危險函數如果打開了安全模式,那么函數禁止是不需要的,但是我們為了安全考慮還是設置。

1、PHP引擎緩存加速
常見四種軟件:
1.eAccelerator
2.Zendcache
3.xcache
4.apc
5.zendopcache php5.5自帶
2、使用tmpfs作為緩存加速緩存的文件目錄
[root@web02 ~]# mount -t tmpfs tmpfs /dev/shm -o size=256m
[root@web02 ~]# mount -t tmpfs /dev/shm/ /tmp/eaccelerator/
[root@web02 ~]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda3 6.6G 3.9G 2.5G 62% /
/dev/sda1 190M 36M 145M 20% /boot
tmpfs 256M 0 256M 0% /dev/shm
/dev/shm 238M 0 238M 0% /tmp/eaccelerator
提示:

上傳圖片縮略臨時處理的目錄/tmp

2.其他加速器臨時目錄/tmp/eacclerator

tmpfs是一種基于內存的文件系統,它和虛擬磁盤ramdisk比較類似像,但不完全相同,和ramdisk一樣,tmpfs可以使用RAM 但它也可以使用swap分區來存儲。而且傳統的ramdisk是個塊設備,要用mkfs來格式化它,才能真正地使用它;而tmpfs是一個文件系統,并不是塊設備,只是安裝它,就可以使用了。tmpfs是最好的基于RAM的文件系統

更多解釋
3、php.ini參數調優

無論是apache還是nginx,php.ini都是適合的。而php-fpm.conf適合nginx+fastcgi配置。首選產品環境的php.ini(php.ini-production)

[root@web02 ~]# ls /home/oldboy/tools/php-5.5.32|grep php.ini
php.ini-development
php.ini-production

兩者的區別:生產場景php.ini的日志都是關閉或者輸出到文件中的。所以,我們再生產場景把非程序(php引擎)上輸出都關閉或隱藏

3.1 打開php的安全模式

php的安全模式是個非常重要的php內嵌的安全機制,能夠控制一些php中的函數執行,比如system(),同時把很多文件操作的函數進行了權限控制。

safe_mode = On
;是否啟用安全模式。
;打開時,PHP將檢查當前腳本的擁有者是否被操作的文件的擁有者相同
3.2 用戶組安全

當safe_mode打開時,safe_mode_gid被關閉,那么php腳本能夠對文件進行訪問,并且相同組的用戶也能夠對文件進行訪問 建議設置為:

safe_mode_gid = Off

如果不進行設置,可能我們無法對我們服務器網站目錄下的文件進行操作了,比如我們需要對文件進行操作的時候。php5.3.27默認為 safe_mode_gid = Off。

提示:5.5 此參數已經沒有了
3.3 關閉危險函數

如果打開了安全模式,那么函數禁止是不需要的,但是我們為了安全考慮還是設置。比如,我們覺得不希望執行包括system()等能執行命令的php函數,或者能夠查看php信息的phpinfo()等函數,那么我們就禁止它們。

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

如果你要禁止任何文件和目錄的操作,那么可以關閉很多文件操作

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_get_contents,fpus,fwrite,chgrp,chmod,chown

以上只是列了部分不叫常用的文件處理函數,你也可以把上面執行命令函數和這個函數結合,就能夠抵制大部分的phpshell了

企業面試題:
下列PHP函數中,會對系統產生安全隱患降低安全的函數有?
A.md5() B.phpinfo() C.shell_exec() D.exec()
答案:B、C、D
3.4 關閉PHP版本信息在http頭中的泄漏

我們為了防止黑客獲取服務器中php版本信息,可以關閉該信息在http頭中

expose_php = Off
;是否暴露PHP被安裝在服務器上的事實(在http中加上其前面)
;它不會有安全上的直接危險,但它使得客戶端知道服務器上安裝了PHP
例子:

優化后

3.5 關閉注冊全局變量

在PHP中提交的變量,包括使用POST或者GET提交的變量,都會自動注冊為全局變量,能夠直接訪問,這是對服務器非常不安全的,所以我們不能讓它注冊為全局變量,就把注冊全局改變選項關閉

register_globals = Off
;是否將E,G,P,C,S 變量注冊為全局變量
;打開該指令可能會導致嚴重的安全問題,除非你的腳本經過非常仔細的檢查。
;推薦使用預定義的超全局變量:$_ENV.$_GET,$_POST,$_COOKIE,$_SERVER
;該指令受variables_order指令的影響。
提示:此參數5.5沒有
3.6 打開magic_quotes_gpc 來防止SQL注入

SQL注入是非常危險的問題,輕則網站后臺被入侵,重則整個服務器淪陷,所以一定要小心。

magic_quotes_gpc = Off

這個默認是關閉的,如果它打開將自動把用戶提交對sql的查詢進行轉換,比如把‘轉為"等,這對防止sql注入有重大作用。

magic_quotes_gpc = On
提示:5.5已經沒有
SQL注入防范:
Nginx 可以使用WA,防止SQL注入(nginx 基于lua模塊開發WAF)
apache使用mod_security和mod_evasive 來防止SQL注入
3.7 錯誤信息控制

一般php在沒有連接到數據庫或者其他情況會有提示錯誤,一般錯誤信息中會包含php腳本當前的路徑信息或者查詢的SQL語句等信息,這類信息提供給黑客后,是不安全的,所以一般服務器建議禁止錯誤提示。

display_errors = Off
;是否將錯誤信息作為輸出的一部分顯示給終端用戶,應用調試時,可以打開,方便查看錯誤
;最終發布的web站點上,強烈建議你關掉這個特性,并使用錯誤日志代替
設置為
display_errors = Off (php5.3.27默認即為display_errors = Off)

如果確實是要顯示錯誤信息,一定設置顯示錯誤的級別,計入只顯示警告以上的信息。

信息:
error_reporting = E_WARNING & E_ERROR
當然,最好是關閉錯誤提示。
3.8 錯誤日志
建議在關閉display_errors 后能夠把錯誤信息記錄下來,便于查找服務器運行的原因:
log_errors = On (php5.3.27 默認即為log_errors = On)
同時也要設置錯誤日志存放路徑的目錄,建議根apache的日志存在一起
error_log = /app/logs/php_error.log
注意:給文件必須允許apache用戶的組具有寫的權限
日志切割可以使用cp在清空
4、部分資源限制參數優化
1.設置每個腳本運行的最長時間
當無法上傳較大的文件或者后臺備份數據經常超時,此時需要調整如下:
max_execution_time = 30
;Maximum amout of memory a script may consume (128MB)
;每個腳本最大允許執行時間(秒),0表示沒有限制
;這個參數有助于阻止劣質腳本無休止的占用服務器資源。
;該指令僅影響腳本本身的運行時間,任何其他花費在腳本運行之外的事件
;如果system()/sleep()函數的使用、數據庫查詢、文件上傳等,都不包括在內
;在安全模式下,你不能用int_set()在運行時改變這個設置
2.每個腳本使用的最大內存
memory_limit = 128M
;一個腳本所能狗申請到的最大內存字節數(可以使用K/M作為單位)
;這有助于防止劣質腳本消耗完服務器上的所有內存。
;要能夠使用該指令必須在編譯時使用“--enable-memory-limit”配置選項
;如果要取消內存限制,則必須將其設為-1
;設置了該指令后,memory_get_usage()函數將變為可用
3.每個腳本等待輸入數據最長時間
max_input_time = -1
;每個腳本解析輸入數據(POST,GET,upload)的最大允許時間(秒)
;-1 表示不限制。
設置為
max_input_time = 60
4.上載文件的最大許可大小

當上傳較大文件時,需要調整如下參數:

upload_max_filesize = 2M;
;上載文件最大許可大小,自己改吧,一些圖片論壇需要這個更大的值。
5、部分安全優化參數
1.禁止打開遠程地址,例如:php include的那個漏洞。就是在一個php程序中include了變量,那么入侵者就可以利用這個控制服務器在本地執行遠程的一個php程序中include了變量,那么入侵者就可以利用這個控制服務器在本地執行遠程的一個php程序,例如phpshell,所以我們關閉這個
allow_url_fopen = Off
2.設置:cgi.fix_pathinfo=0 防止Nginx文件類似錯誤解析漏洞
注:2010年5月23日14:00前閱讀本文的朋友,請按目前v1.1版本的最新配置進行設置。
  昨日,80Sec 爆出Nginx具有嚴重的0day漏洞,詳見《Nginx文件類型錯誤解析漏洞》。只要用戶擁有上傳圖片權限的Nginx+PHP服務器,就有被入侵的可能。

  其實此漏洞并不是Nginx的漏洞,而是PHP PATH_INFO的漏洞,詳見:http://bugs.php.net/bug.php?i...

  例如用戶上傳了一張照片,訪問地址為http://www.domain.com/images/...,而test.jpg文件內的內容實際上是PHP代碼時,通過http://www.domain.com/images/...。

 網上提供的臨時解決方法有:
  方法①、修改php.ini,設置cgi.fix_pathinfo = 0;然后重啟php-cgi。此修改會影響到使用PATH_INFO偽靜態的應用,例如我以前博文的URL:http://blog.zyan.cc/read.php/... 就不能訪問了。

  方法②、在nginx的配置文件添加如下內容后重啟:if ( $fastcgi_script_name ~ ../.php ) {return 403;}。該匹配會影響類似 http://www.domain.com/softwar...(5.0為目錄),http://www.domain.com/goto.ph... 的URL訪問。
 
 方法③、對于存儲圖片的location{...},或虛擬主機server{...},只允許純靜態訪問,不配置PHP訪問。例如在金山逍遙網論壇、
SNS上傳的圖片、附件,會傳送到專門的圖片、附件存儲服務器集群上(pic.xoyo.com),這組服務器提供純靜態服務,無任何動態PHP配置。各大網站幾乎全部進行了圖片服務器分離,因此Nginx的此次漏洞對大型網站影響不大。
本文轉載
6、調整php sesson 信息存放類型和位置
session.save_handler = files
;存儲和檢索與會話關聯的數據的處理器名字,默認為文件("files")
;如果想要使用自定義的處理器(如基于數據庫的處理器),可用“user”
;設為“memcached”則可以使用memcached作為會話處理器(需要指定“--enable-memcache-seesion”編譯選項)
;session.save_path = "/tmp"
;傳遞給存儲處理器的參數,對于files處理器,此值是創建會話數據文件的路徑。
可以直接memcached來作php的session.save_handler.
修改成如下配置:
session.save_handler = memcache
session.save_path = "tcp://10.0.0.18:11211"
提示:
1)10.0.0.18:11211 為memcached數據庫緩存的IP及端口。
2)上述適合LNMP,LAMP環境。
3)memcached服務器也可以是多臺通過hash調度。

php5.3 配置ini *為重點
配置php.ini
*338 行 設置為 safe_mode = On #開啟安全模式
435 行 設置為 expose_php = Off #關閉版本信息
538 行 設置為 display_errors = Off #錯誤信息控制,測試的時候開啟

報錯的級別在521行 默認為 error_reporting = E_ALL & ~E_DEPRECATED

559 行 設置為 log_errors = On #打開log 日志
643 行 設置為 error_log = /app/logs/php_errors.log #log日志得路徑(需log_errors 為 On 才能生效)
*703 行 設置為 register_globals = Off #關閉全局變量(默認即為關閉,萬萬不能開啟)
*756 行 設置為 magic_quotes_gpc = On #防止SQL注入
902 行 設置為 allow_url_fopen = Off #打開遠程打開(禁止)
854 行 設置為 cgi.fix_pathinfo=0 #防止Nginx文件類型錯誤解析漏洞

可修改參數

444 max_execution_time = 30 #單個腳本最大運行時間,單位是秒(**開發插入程序時可能會需要把數值調大)
454 max_input_time = 60 #單個腳本等待輸入的最長時間
465 memory_limit = 128M #單個腳本最大使用內存,單位為K或M(128M稍大可以適當調小)
891 upload_max_filesize = 2M #上傳文件最大許可
894 max_file_uploads = 20 #可以通過單個請求上載的最大文件數
php-fpm.conf優化配置

PHP 優化前后對比圖
修改后 修改前
pid = /app/log/php-fpm.pid
error_log = /app/logs/php-fpm.log
log_level = error
events.mechanism = epoll
listen.owner = www
listen.group = www
pm.max_children = 1024
pm.start_servers = 14
pm.min_spare_servers = 5
pm.max_spare_servers = 20
pm.process_idle_timeout = 15s;
pm.max_requests = 2048
slow = /app/logs/$pool.log.slow
rlimit_files = 32768
request_slowlog_timeout = 10
;pid = run/php-fpm.pid
;error_log = log/php-fpm.log
;log_level = notice
;events.mechanism = epoll
;listen.owner = www
;listen.group = www
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3
;pm.process_idle_timeout = 10s;
;pm.max_requests = 500
;slowlog = log/$pool.log.slow
;rlimit_files = 1024
;request_slowlog_timeout = 0
優化參數介紹
error_log = /app/logs/php-fpm.log #指定pid路徑
log_level = error #開啟日志,log級別為error
events.mechanism = epoll #使用epoll模式
listen.owner = www #使用php的用戶
listen.group = www
pm.max_children = 1024 #php子進程數量
pm.start_servers = 14 #php初始啟動子進程數量
pm.min_spare_servers = 5 #php最小空閑進程數量
pm.max_spare_servers = 20 #php最大空閑進程數量
pm.process_idle_timeout = 15s; #進程超時時間
pm.max_requests = 2048 #每個子進程退出之前可以進行的請求數
slowlog = /app/logs/$pool.log.slow #開啟慢查詢日志(執行程序時間長了可以查看到)
rlimit_files = 32768 #開啟文件描述符數量
request_slowlog_timeout = 10 #慢查詢的超時時間,超時10秒記錄
溫馨提示:

所有的優化都需要看業務進行操作,否則會出現問題!

修改配置文件前操作前必須備份! 操作前必須備份! 操作前必須備份!

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/61980.html

相關文章

  • [PHP] – 性能優化Fcgi進程PHP解析優化1

    摘要:是否啟用安全模式。提示此參數已經沒有了關閉危險函數如果打開了安全模式,那么函數禁止是不需要的,但是我們為了安全考慮還是設置。 1、PHP引擎緩存加速常見四種軟件:1.eAccelerator2.Zendcache3.xcache4.apc5.zendopcache php5.5自帶2、使用tmpfs作為緩存加速緩存的文件目錄[root@web02 ~]# mount -t tmpfs ...

    jzzlee 評論0 收藏0
  • [PHP] – 性能優化Fcgi進程PHP解析優化1

    摘要:是否啟用安全模式。提示此參數已經沒有了關閉危險函數如果打開了安全模式,那么函數禁止是不需要的,但是我們為了安全考慮還是設置。 1、PHP引擎緩存加速常見四種軟件:1.eAccelerator2.Zendcache3.xcache4.apc5.zendopcache php5.5自帶2、使用tmpfs作為緩存加速緩存的文件目錄[root@web02 ~]# mount -t tmpfs ...

    ky0ncheng 評論0 收藏0
  • Apache 與 Nginx 性能對比:Web 服務器優化技術

    摘要:服務器市場份額。子進程負責創建由指令設置的服務器線程,同時還負責監聽接收到的請求,并將請求分發給處理線程。在版本引入了模塊,這個模塊基于模塊創建的,并加入了獨立的監聽線程來管理請求處理完成后的休眠的連接。基于事件的服務器完勝。 譯文首發于 Apache 與 Nginx 性能對比:Web 服務器優化技術,轉載請注明出處。 多年前 Apache 基金會 Web 服務器 簡稱「Apache」...

    shadowbook 評論0 收藏0
  • Apache 與 Nginx 性能對比:Web 服務器優化技術

    摘要:服務器市場份額。子進程負責創建由指令設置的服務器線程,同時還負責監聽接收到的請求,并將請求分發給處理線程。在版本引入了模塊,這個模塊基于模塊創建的,并加入了獨立的監聽線程來管理請求處理完成后的休眠的連接?;谑录姆掌魍陝?。 譯文首發于 Apache 與 Nginx 性能對比:Web 服務器優化技術,轉載請注明出處。 多年前 Apache 基金會 Web 服務器 簡稱「Apache」...

    wangbjun 評論0 收藏0

發表評論

0條評論

zhaot

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<