Windows下PHP+MySQL+IIS安全平台III 变态配置

PHP+MySQL+IIS安全平台III 变态配置" onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor:pointer;"/>

图1

第一个重要的参数是register_globals. 这个配置影响到php如何接收传递过来的参数，说白了register_globals的意思就是注册为全局变量，所以当该参数为值On的时候，传递过来的值会被直接的注册为全局变量直接使用，而当该参数值为Off的时候，我们需要到从特定的数组里去得到它。从www.milw0rm.com很多的php漏洞来看一大部分是因为Register_Globals为On的时候被利用的，所以强烈推荐将这个参数修改成Off，php目前的最高版中此参数都是默认是Off的，没啥说的了，如果你用的版本比较老的话一定要修改这里。

第二个重要的参数是magic_quotes_gpc。如果你把magic_quotes_gpc设置成了Off，那么php就不会对4种字符' (单引号)， " (双引号)， (反斜线) 和 空字符进行转义，那这样的话就会造成服务器可能会被非法注入的可能。但是如果你把Magic_quotes_gpc设置成On的话，php就会给$_POST，$_GET，$_COOKIE提交的变量中如果有上面四种字符的话就会加上反斜扛.这样就会大大地提高php的安全性。强烈推荐将Magic_quotes_gpc设置为On。

第三个比较重要的是display_errors。为什么说这个参数重要呢，因为没有不会犯错误的开发者，php的display_errors参数就是帮助开发者定位和确定这些错误的。可是如果php提供的这些信息被黑客了解到的话，这就不妙了。如图2所示为某国库的网站，因为对display_errors没有进行设置，导致web目录泄露。这对于黑客来说可是非常重要的信息，因为很多时候的渗透都需要知道web目录，例如webshell的写入等等。所以我们强烈推荐大家把这个参数设置成Off。