您好,登錄后才能下訂單哦!
這篇文章主要介紹PHP引擎php.ini參數(shù)優(yōu)化的示例分析,文中介紹的非常詳細(xì),具有一定的參考價(jià)值,感興趣的小伙伴們一定要看完!
無論是apache還是nginx,php.ini都是適合的。而php-fpm.conf適合nginx+fcgi的配置
首先選擇產(chǎn)品環(huán)境的php.ini(php.ini-production)
/home/oldboy/tools/php-5.3.27/php.ini-development
/home/oldboy/tools/php-5.3.27/php.ini-production
1.打開php的安全模式
php的安全模式是個非常重要的php內(nèi)嵌的安全機(jī)制,能夠控制一些php中的函數(shù)執(zhí)行,比如system(),同時把很多文件操作的函數(shù)進(jìn)行了權(quán)限控制。
該參數(shù)配置如下:
safe_mode = off
;是否啟用安全模式
;打開時,php將檢查當(dāng)前腳本的擁有者是否和被操作的文件的擁有者相同。
默認(rèn)的php.ini是沒有打開安全模式的,我們把它打開如下:
safe_mode = On
2.用戶組安全
當(dāng)safe_mode打開時,safe_mode_gid被關(guān)閉,那么php腳本能夠?qū)ξ募M(jìn)行訪問,而且相同組的用戶也能夠?qū)ξ募M(jìn)行訪問。建議設(shè)置為: safe_mode_gid = off 如果不進(jìn)行設(shè)置,可能我們無法對我們服務(wù)器網(wǎng)站目錄下的文件進(jìn)行操作了,比如我們需要對文件進(jìn)行操作的時候。php5.3.27默認(rèn)為safe_mode_gid = off
3.關(guān)閉危險(xiǎn)函數(shù)
如果打開了安全模式,那么函數(shù)禁止是可以不需要的,但是我們?yōu)榱税踩€是考慮進(jìn)去。比如,我們覺得不希望執(zhí)行包括system()等在那的能夠執(zhí)行命令的php函數(shù),或者能夠查看php信息的phpinfo()等函數(shù),那么我們就可以禁止它們,方法如下: disable_functions = system,passthru,exec,shell_exec,popen,phpinfo disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown
4.關(guān)閉php版本信息在http頭中的泄漏
為了防止黑客獲取服務(wù)器中php版本的信息,可以關(guān)閉該信息斜路在http頭中。 該參數(shù)默認(rèn)配置如下: expose_php = On ;是否暴露php被安裝在服務(wù)器上的事實(shí)(在http頭重加上其簽名) ;它不會有安全上的直接威脅,但它使得客戶端知道服務(wù)器上安裝了php. 建議設(shè)置為 expose_php = Off
5.關(guān)閉注冊全局變量
在php中提交的變量,包括使用post或get提交的變量,都將自動注冊為全局變量,能夠直接訪問,這是對服務(wù)器非常不安全的,所以我們不能讓它注冊為全局變量,就把注冊全局變量選項(xiàng)關(guān)閉: 默認(rèn)配置: register_globals = Off ;是否將E,G,P,C,S變量注冊為全局變量 ;打開該指令可能會導(dǎo)致嚴(yán)重的安全問題,除非你的腳本經(jīng)過非常仔細(xì)的檢查。 ;推薦使用預(yù)定義的超全局變量:$_ENV,$_GET,$_POST,$_COOKIE,$_SERVER ;該指令受variables_order指令的影響。 ;php6中已經(jīng)刪除此指令。 建議設(shè)置為: register_globals = Off
6.打開magic_quotes_gpc來防止SQl注入
magic_quotes_pgc = Off 這個默認(rèn)是關(guān)閉的,如果它打開后將自動把用戶提交對sql的查詢進(jìn)行轉(zhuǎn)換,比如把'轉(zhuǎn)義為\'等,這對防止sql注入有重大作用,所以我們推薦設(shè)置為: magic_quotes_pgc = On
7.錯誤信息控制
一般php在沒有連接到數(shù)據(jù)庫或者其他情況下會有提示錯誤,一般錯誤信息中會包含php腳本當(dāng)前的路徑信息或者查詢的SQL語句等信息,這類信息提供給黑客后,是不安全的,所以一般服務(wù)器建議禁止錯誤提示。 該參數(shù)默認(rèn)配置如下: display_errors = Off ;是否將錯誤信息作為輸出的一部分顯示給終端用戶。應(yīng)用調(diào)試時,可以打開,方便查看錯誤。 ;在最終發(fā)布的web站點(diǎn)上,強(qiáng)烈建議你關(guān)掉這個特性,并使用錯誤日志代替(參看下面)。 ;在最終發(fā)布的web站點(diǎn)打開這個特性可能暴露一些安全信息, ;例如你的web服務(wù)器上文件路徑、數(shù)據(jù)庫規(guī)劃或別的信息。 設(shè)置為: display_errors = Off (php5.3.27默認(rèn)即為display_errors = Off) 如果你確實(shí)是要顯示錯誤信息,一定要設(shè)置顯示錯誤的級別,比如只顯示警告以上的信息: error_reporting = E_WARING & ERROR 當(dāng)然,最好是關(guān)閉錯誤提示。
8.錯誤日志
建議在關(guān)閉dispaly_errors后能夠把錯誤信息記錄下來,便于查找服務(wù)器運(yùn)行的原因: log_errors = On php5.3.27默認(rèn)即為log_errors = On 同時也要設(shè)置錯誤日志存放的目錄,建議根apache的日志存在一起: error_log = /app/logs/php_error.log 注意:給文件必須允許apache用戶的和組具有寫的權(quán)限
9.部分資源限制參數(shù)優(yōu)化
(1)設(shè)置每個腳本運(yùn)行的最長時間 當(dāng)無法上傳交大的文件或者后臺設(shè)備數(shù)據(jù)經(jīng)常超時,此事需要調(diào)整如下設(shè)置: max_execution_time = 30 ;每個腳本最大允許執(zhí)行時間(秒),0表示沒有限制。 ;這個參數(shù)有助于阻止劣質(zhì)腳本無休止的占用服務(wù)器資源。 ;該指令僅影響腳本本身的運(yùn)行時間,任何其他花費(fèi)在腳本運(yùn)行之外的時間 ;如用system()/sleep()函數(shù)的使用、數(shù)據(jù)庫查詢、文件上傳等,都不包括在內(nèi)。 ;在安全模式下,你不能用ini_set()在運(yùn)行時改變這個設(shè)置。 (2)每個腳本使用的最大內(nèi)存 memory_limit = 128M ;一個腳本所能夠申請到的最大內(nèi)存字節(jié)數(shù)(可以使用K和M作為單位) ;這有助于防止劣質(zhì)腳本消耗完服務(wù)器上的所有內(nèi)存。 ;要能夠使用該指令必須在編譯時使用"--enable-memory-limit"配置選項(xiàng)。 ;如果要取消內(nèi)存限制,則必須將其設(shè)為-1 ;設(shè)置了該指令后,memory_get_usage()函數(shù)將變?yōu)榭捎谩? (3)每個腳本等待輸入數(shù)據(jù)最長時間 max_input_time = -1 ;每個腳本解析輸入數(shù)據(jù)(POST,GET,upload)的最大允許時間(秒) ;-1表示不限制 設(shè)置為 max_input_time = 60; (4)上傳文件的最大許可大小 當(dāng)上傳較大文件時,需要調(diào)整如下參數(shù): upload_max_filesize = 2M; ;上傳文件的最大許可大小,一些圖片論壇需要這個更大的值。
10.部分安全參數(shù)優(yōu)化
(1)禁止打開遠(yuǎn)程地址,記得最近出的php include的那個漏洞嗎?就是在一個php程序中include了變量,那么入侵者就可以利用這個控制服務(wù)器在本地執(zhí)行遠(yuǎn)程的一個php程序,例如phpshell,所以我們關(guān)閉這個。 allow_url_fopen = Off (2)設(shè)定:cgi.fix_pathinfo=0防止Nginx文件類型錯誤解析漏洞 cgi.fix_pathinfo=0
11.調(diào)整php sesson信息存放類型和位置
session.save_handler = files ;存儲和檢索與會話關(guān)聯(lián)的數(shù)據(jù)的處理器名字。默認(rèn)為文件("files") ;如果想要使用自定義的處理器(如基于數(shù)據(jù)庫的處理器),可用"user" ;設(shè)為"memcache"則可以使用memcache作為會話處理器(需要指定"--enable-memcache-session"編譯選項(xiàng)) ;session.save_path = "/tmp" ;傳遞給存儲處理器的參數(shù)。對于files處理器,此值是創(chuàng)建會話數(shù)據(jù)文件的路徑 參考資料: LAMP系統(tǒng)性能調(diào)優(yōu),第1部分:理解LAMP架構(gòu) http://www.ibm.com/developerworks/cn/linux/l-tune-lamp-1/ LAMP系統(tǒng)性能調(diào)優(yōu),第2部分:優(yōu)化Apache和PHP http://www.ibm.com/developerworks/cn/linux/l-tune-lamp-2.html LAMP系統(tǒng)性能調(diào)優(yōu),第3部分:MySQL服務(wù)器調(diào)優(yōu) http://www.ibm.com/developerworks/cn/linux/l-tune-lamp-3.html
12安裝memcache客戶端
修改配置文件,在php.ini中全局設(shè)置: web集群session共享存儲設(shè)置: 默認(rèn)php.ini中session的類型和配置路徑: #session.save_handler = files #session.save_path = "/tmp" 修改成如下設(shè)置: session.save_handler = memcache session.save_path = "tcp://10.0.0.18:11211" 提示: 1)10.0.0.18:11211為memcached數(shù)據(jù)庫緩存的IP及端口 2)上述適合LNMP,LAMP環(huán)境 3)memcached服務(wù)器也可以是多臺通過hash調(diào)度 使用tmps作為緩存加速緩存的文件目錄 mount -t tmpfs tmpfs /dev/shm -o size=256m mount -t tmpfs /dev/shm/ /tmp/eaccelerator 1.上傳圖片縮略圖臨時處理的目錄/tmp 2.其他加速器臨時目錄 /tmp/eaccelerator
以上是“PHP引擎php.ini參數(shù)優(yōu)化的示例分析”這篇文章的所有內(nèi)容,感謝各位的閱讀!希望分享的內(nèi)容對大家有幫助,更多相關(guān)知識,歡迎關(guān)注億速云行業(yè)資訊頻道!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。