array ( 0 => 'index.php', 1 => 'PHP Manual', ), 'head' => array ( 0 => 'UTF-8', 1 => 'zh', ), 'this' => array ( 0 => 'security.intro.php', 1 => '简介', 2 => '简介', ), 'up' => array ( 0 => 'security.php', 1 => '安全', ), 'prev' => array ( 0 => 'security.php', 1 => '安全', ), 'next' => array ( 0 => 'security.general.php', 1 => '总则', ), 'alternatives' => array ( ), 'source' => array ( 'lang' => 'zh', 'path' => 'security/intro.xml', ), 'history' => array ( ), ); $setup["toc"] = $TOC; $setup["toc_deprecated"] = $TOC_DEPRECATED; $setup["parents"] = $PARENTS; manual_setup($setup); contributors($setup); ?>

简介

PHP 作为一种强大的语言和解析器,无论是作为包含在 Web 服务器中的模块还是作为单独的 CGI 二进制文件执行,它都可以在服务器上访问文件、运行命令以及创建网络连接等。 默认情况下,这些功能会使 web 服务器运行的任何内容变得不安全。 PHP 专门设计为一种比 Perl 或者 C 编写 CGI 程序更安全的语言,并且正确选择编译时和运行时配置选项以及正确的编码实践,它可以同时满足所需的自由和安全。

由于使用 PHP 有很多不同的方式,因此有很多配置选项来控制其行为。大量选项保证可以将 PHP 用于多种用途,但是这也意味着这些选项和服务器配置的组合会导致设置不安全。

PHP 配置的灵活性与代码的灵活性不相上下。Shell 用户具备的所有服务器端应用功能,PHP 同样也能构建完整。也可以在严格控制的环境中用于简单的服务器端包含,具有很小的风险。 环境如何构建、安全性如何,很大程度上取决于 PHP 开发者。

本章以一些常规的安全建议作为开始,解释了不同配置选项组合以及可以安全使用的情况, 并描述了不同安全级别进行编码时的不同注意事项。