PHP 是一种强大的语言,解释器(无论是作为模块包含在 Web 服务器中还是作为单独的 CGI 二进制文件执行)都能够访问服务器上的文件、执行命令和打开网络连接。这些属性使得 Web 服务器上运行的任何东西默认情况下都不安全。PHP 被专门设计为比 Perl 或 C 更安全地编写 CGI 程序的语言,并且通过正确选择编译时和运行时配置选项以及适当的编码实践,它可以为你提供你需要的自由和安全的完美组合。
由于使用 PHP 的方法有很多种,因此有许多配置选项控制着它的行为。大量的选项保证你可以将 PHP 用于很多目的,但也意味着这些选项和服务器配置的组合会导致不安全的设置。
PHP 的配置灵活性和代码灵活性一样高。PHP 可用于构建完整的服务器应用程序,拥有 shell 用户的所有功能,也可以用于在严格控制的环境中进行简单的服务器端包含,风险很小。你如何构建这个环境,以及它有多安全,在很大程度上取决于 PHP 开发人员。
本章首先介绍一些通用的安全建议,解释不同的配置选项组合以及它们可以安全使用的场景,并描述为不同安全级别编码时的不同注意事项。