17370845950

上线前必须禁用PHP危险函数，通过php --ini定位正确php.ini文件，设置disable_functions并关闭allow_url_fopen与allow_url_include，重启服务后实测验证。

PHP 安装后默认开启一堆危险函数（比如 exec、system、shell_exec、passthru、proc_open、popen），不手动禁用，等于给攻击者留了后门。这不是“建议做”，而是上线前必须做的基础安全动作。

怎么找到并修改 php.ini 文件

很多新手卡在第一步：根本不知道自己用的是哪个 php.ini。别猜路径，直接用 PHP 自己说：

php --ini

输出类似：

Configuration File (php.ini) Path: /etc/php/8.2/cli
Loaded Configuration File:         /etc/php/8.2/apache2/php.ini

注意区分 CLI 和 Web SAPI（如 Apache/FPM）——Web 服务用的是 Loaded Configuration File 对应的文件。改错位置（比如只改了 CLI 的）等于白干。

• Apache 环境：通常在 /etc/php/{version}/apache2/php.ini
• PHP-FPM：通常是 /etc/php/{version}/fpm/php.ini，改完记得 sudo systemctl reload php{version}-fpm
• Windows：看 phpinfo() 页面里的 “Loaded Configuration File”

禁用危险函数的核心配置项：disable_functions

这个指令不是“开关”，而是白名单式阻断——它只禁用列出的函数，且**不递归影响函数别名**（比如禁了 exec，但 system 还能用）。所以必须列全：

disable_functions = exec,passthru,shell_exec,system,proc_open,popen,pcntl_exec,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_alarm,pcntl_getpriority,pcntl_setpriority

说明：

• pcntl_* 系列必须加，尤其在 FPM 下，它们常被用于绕过普通禁用（比如通过 pcntl_exec 启动新进程）
• 不要用空格分隔，只用英文逗号；末尾不要逗号，否则整行失效
• 该配置对所有 SAPI 生效，但部分函数（如 dl()）已从 PHP 8.0+ 彻底移除，无需再禁
• 禁用后调用会返回 NULL 并抛出 E_WARNING，日志里能看到 “Function XXX is disabled”

为什么光禁函数还不够？还得关掉 allow_url_fopen 和 allow_url_include

这两个配置和函数禁用是两套防线：

• allow_url_fopen = Off：禁止 fopen("http://...")、file_get_contents("https://...") 等远程文件读取
• allow_url_include = Off：彻底堵死 include("http://...")、require_once("php://input") 这类远程代码执行入口

很多 WebShell（比如菜刀）依赖这两项加载远程 payload。即使你禁了 eval，如果开了 allow_url_include，攻击者仍可：include("data://text/plain,"); —— 这种 data:// 协议绕过非常常见。

顺手也检查下：display_errors = Off（避免泄露路径/变量）、expose_php = Off（隐藏 PHP 版本头）。

验证是否生效：别信配置，要实测

改完 php.ini，必须重启对应服务（Apache/FPM），然后写个测试脚本跑一下：

正确结果应该是：

• exec、shell_exec 返回 false
• allow_url_fopen 和 allow_url_include 都返回 ""（空字符串）或 "0"

更狠的验证：直接调用 exec('id')，看是否报 Warning: exec() has been disabled for security reasons。没报？说明配置没生效或改错了文件。

真正容易忽略的点：FPM + Nginx 组合下，可能有多个 php.ini（全局 + pool 级别），而 pool 配置里的 php_admin_value[disable_functions] 会覆盖全局设置——得去 /etc/php/*/fpm/pool.d/www.conf 里检查有没有重复或冲突定义。