php禁止网页抓取(php项目不少安全隐患屏蔽PHP错误输出（一）| )

　　php禁止网页抓取(php项目不少安全隐患屏蔽PHP错误输出（一）|

)

　　由于脚本语言和早期版本设计等诸多原因，php项目存在很多安全隐患。从配置选项来看，可以做以下优化。

　　1.抑制 PHP 错误输出。

　　在/etc/php.ini（默认配置文件位置）中，将以下配置值改为Off

　　display_errors=Off

　　不要将错误堆栈信息直接输出到网页，以防止黑客利用相关信息。

　　正确的方法是：

　　将错误日志写入日志文件，方便排查。

　　2.阻止 PHP 版本。

　　默认情况下，返回头会显示 PHP 版本，如：Response Headers X-powered-by: PHP/7.2.0

　　将php.ini中以下配置值改为Off

　　expose_php=Off

　　3.关闭全局变量。

　　如果启用全局变量，一些表单提交的数据会自动注册为全局变量。代码显示如下：

　　如果启用了全局变量，服务器端的PHP脚本可以使用$username和$password来获取用户名和密码，存在很大的脚本注入风险。

　　打开方法是修改php.ini如下：

　　register_globals=On

　　建议关闭，参数如下：

　　register_globals=Off

　　关闭时，只能从 $_POST、$_GET 和 $_REQUEST 获取相关参数。

　　4.文件系统限制

　　Open_basedir 可用于限制 PHP 可以访问的系统目录。

　　如果你不加限制地使用下面的脚本代码（hack.php），你可以获得系统密码。

<p>