更改php和nginx对上传文件的限制+php应禁用的高危函数

最新推荐文章于 2025-07-13 14:15:53 发布
原创 最新推荐文章于 2025-07-13 14:15:53 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了php.ini文件中关于文件大小及时间限制的配置项,如post_max_size、upload_max_filesize等,以及禁用的潜在危险函数列表。同时涵盖了nginx配置文件nginx.conf中的关键设置,如-client_max_body_size。

php.ini文件大小时间限制

  • post _max_size = 60m 可接受最大post数据(表单提交最大数据包括标题内容附件等)
  • file_uploads = On允许上传
  • upload_max_filesize = 50m允许上传单个文件最大值
  • max_execution_time = 300上传文件最大等待时间
  • max_input_time = 600

php.ini文件禁用危险函数

disable_functions = 
phpinfo,#php环境信息 
passthru,#允许执行一个外部程序并回显输出类似exec()
exec,#允许执行外部程序shell cmd等
system,#允许执行一个外部程序并回显输出,类似于 passthru()
chroot,#可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式
scandir,#列出指定路径中的文件和目录
chgrp,#改变文件或目录所属的用户组
chown,#改变文件或目录的属主
shell_exec,#通过shell执行命令并将结果作为字符串返回
proc_open,#执行一个命令并打开文件指针用于读取以及写入
proc_get_status,#获取使用 proc_open() 所打开进程的信息
ini_alter,#是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同
ini_alter,#可用于修改、设置 PHP 环境配置参数
ini_restore,#可用于恢复 PHP 环境配置参数到其初始值
dl,#在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块
openlog,
syslog,#可调用 UNIX 系统的系统层 syslog() 函数
readlink,
symlink,#在 UNIX 系统中建立一个符号链接
popepassthru,
stream_socket_server,#建立一个 Internet 或 UNIX 服务器连接
escapeshellcmd,
dll,
popen,
disk_free_space,
checkdnsrr,
checkdnsrr,
getservbyname,
getservbyport,
disk_total_space,
posix_ctermid,
posix_get_last_error,
posix_getcwd,
posix_getegid,
posix_geteuid,
posix_getgid90, 
posix_getgrgid,
posix_getgrnam,
posix_getgroups,
posix_getlogin,
posix_getpgid,
posix_getpgrp,
posix_getpid, 
posix_getppid,
posix_getpwnam,
posix_getpwuid,
posix_getrlimit,
posix_getsid,
posix_getuid,
posix_isatty,
posix_kill,
posix_mkfifo,
posix_setegid,
posix_seteuid,
posix_setgid, 
posix_setpgid,
posix_setsid,
osix_setuid,
posix_strerror,
posix_times,
posix_ttyname,
posix_uname

nginx配置文件nginx.conf

可加在http{}段,可加server{}段,可加在locatio{}段
区别:
http控制所有nginx收到的请求
server控制server收到的请求
location控制location收到的请求
- client_max_body_size 50m;限制上传文件大小
- server_tokens off;关闭版本号

关于PHP建站经常被攻击的杜绝方法
欢迎来到瑆箫博客,专为程序员和编程爱好者打造的技术博客。我们分享编程语言趋势、开发工具、编程哲学、职业发展等,助你掌握新技术,优化技能,激发编程热情。
07-09 64
PHP网站安全升级要点:升级至PHP8.1+版本并禁用危险函数;强化Nginx配置隐藏敏感信息;MySQL使用预处理语句最小权限原则;严格过滤输入/输出数据;实施安全会话管理CSRF防护;限制文件上传类型与权限;启用错误日志监控;定期更新依赖组件。综合采用这些措施可有效提升PHP网站安全性。
五个案例“熄灭”Nginx漏洞隐患
qq_40907977的博客
05-19 1141
转载来源 :五个案例“熄灭”Nginx漏洞隐患 :http://www.safebase.cn/article-259057-1.html 摘要: Nginx从2004年10月发布至今,已经趋于成熟完善。在连接高并发的情况下,Nginx是Apache服务不错的替代品,作为一款分布式轻量级的中间件Nginx也是存在大量的漏洞的。 下面我们针对常见的漏洞来进行探讨。01目录遍历漏洞漏洞介绍Nginx的目录遍历漏洞属于配置不当导致的漏洞,错误的配置使得目录被遍历 … Nginx从2004年10月发布至今,已
php上传禁止php_PHP 文件上传限制问题
weixin_39934085的博客
03-09 534
PHP文件上传占用大量资源,因此需要对上传的大小进行限制,以下为相关的三个参数:client_max_body_sizeupload_max_filesizepost_max_size与以上相对的三个报错信息:Warning: POST Content-Length of 9663102 bytes exceeds the limit of 8388608 bytes in Unknown ...
掌握PHP文件上传与move_uploaded_file函数
最新发布
weixin_35649491的博客
07-13 916
PHP中的一个内置函数,用于将通过HTTP POST上传文件从临时目录移动到目标目录。这个函数特别设计用于处理上传文件,并且带有额外的安全检查,以确保文件的确是通过HTTP POST上传的,而不是直接访问服务器文件系统上传的。这避免了恶意用户通过直接指定服务器上的文件路径来上传任意文件的风险。在Web开发中,文件上传是一种常见的用户交互方式,允许用户向服务器发送文件数据。对于PHP文件上传,表单是处理文件上传请求的主要手段。传统的HTML表单需要包含特定的enctype。
php上传禁止php_如何在ApacheNginx禁止上传目录里PHP的执行权限
weixin_35971306的博客
03-09 330
Apache下禁止指定目录运行PHP脚本在虚拟主机配置文件中增加php_flag engine off指令即可,配置如下:Options FollowSymLinksAllowOverride NoneOrder allow,denyAllow from allphp_flag engine off另外一种方法,是设置在htaccess里面的,这个方法比较灵活一点,针对那些没有apapche安全操...
NGINX:禁止上传目录执行php文件防止webshell
weixin_34008784的博客
05-30 1958
在apache下做如下设置: 以apache 模块方式运行 PHP <Directory /www/www.example.com/upload> php_flag engine off </Directory> <Directory ~ "^/www/.*/upload"> <Files ~ ".php"> ...
禁止上传php,php.ini禁止上传怎么办
weixin_39599046的博客
03-10 405
php.ini禁止上传的解决办法:首先打开“php.ini”配置文件;然后修改内容为“file_uploads=On”;接着设置上传文件的上限;最后把服务器缓存上限调大即可。php.ini禁止上传这个该是上传文件超过了2M,即PHP默认的最大上传大小,你可以设置下。配置php.ini文件 (以上传500M以下大小的文件为例)查找以下选项并修改->file_uploads = On ;打...
Web文件包含实现RCE技术详解:日志、phpinfosession三种方法
vortex5的博客
03-05 1027
PHP本地文件包含(LFI)漏洞可被利用实现远程代码执行(RCE),本文分析了三种典型攻击路径: 日志文件包含:利用Web服务器日志记录User-Agent等可控字段的特性,通过LFI漏洞包含日志文件执行恶意代码,需满足日志可读且PHP解析的条件。防御措施包括限制日志权限严格过滤文件包含参数。 phpinfo泄露临时文件:通过文件上传生成临时文件,结合phpinfo页面泄露路径LFI漏洞执行代码,依赖file_uploads开启临时文件可读。建议禁用phpinfo页面并限制临时目录访问。 PHP Se
如果上传图片的地方上传php文件,但是打开之后只能下载文件,而看不到内容那么这里有没有漏洞
03-19
修复建议包括白名单验证扩展名、重命名文件、设置安全响头、存储在非web目录、禁用危险函数等。 最后,确保回答结构清晰,分点说明问题解决方案,让用户逐步理解漏洞的存在对方法。这种情况确实存在潜在...
文件上传漏洞
qq_66597767的博客
04-24 2407
目录 文件上传漏洞原理 产生文件上传漏洞的原因 文件上传漏洞可被利用的必要条件 常见的防御方式 绕过方式 1)客户端Javascript检测 2)服务器MIME类型检测 3)后端黑名单绕过 1.本例来源upload-labs中pass-03 2.本例来源upload-labs中pass-04 3)利用后缀名大小写进行绕过 4)后缀名加空格来绕过 5)后缀名加点绕过 6)后缀名中加“::$DATA”绕过 7)利用双写后缀绕过 ​ 4)后端白名单检测绕过 5)服务...
php nginx环境文件上传限制修改
chenghuadadao的博客
03-15 538
指通过表单POST给PHP的所能接收的最大值,包括表单里的所有值。# keepalive_timeout 的值最好也修改一下,否则phpmyadmin上传的时候很容易time out。一般地,设置好上述四个参数后,上传<=8M的文件是不成问题,在网络正常的情况下。每个PHP页面所吃掉的最大内存,默认8M。但如果要上传>8M的大体积文件,只设置上述四项还一定能行的通。
php禁止上传,PHP禁止某些类型的上传文件_PHP教程
weixin_39519741的博客
03-17 847
为了防止某些人将 exe 之类的可执行文件上传到服务器,我们可以编写程序判断上传文件的类型,然后不符合类型的文件将会拒绝上传。下面是实现这一功能的 PHP 程序:function ($file_name, $pass_type = array('jpg','jpeg','gif','bmp','png') ){// 允许文件类型的后缀组成的数组$file = $pass_type;// 截取上传文...
nginx 禁止目录运行php文件
jugt的博客
07-15 459
注意:下面代码要写在PHP引用配置的前面,
php nginx上传大小制,PHPNginx文件上传大小限制如何解决
weixin_36333893的博客
03-19 200
对于nginxphp环境的网站,php上传文件大小会受到多个方面的限制。一个是nginx本身的限制限制了客户端上传文件的大小.一个是php.ini文件中默认了多个地方的设置。解决php上传文件大小的限制,需做如下的修改。1、修改/usr/local/nginx/conf/nginx.conf 文件,查找 client_max_body_size 将后面的值设置为你想设置的值。例如:复制代码 代...
Nginx服务器+PHP修改文件上传的大小限制
XingyiGao的博客
04-24 2514
【前言】 我们在做web开发的时候,一般都会有上传文件这种操作,但是如果上传文件过大,就会出现以下的情况: 【解决方法】 第一步:修改Nginx服务器上传文件大小的限制。 (1)一般来说,要修改Nginx服务器上传文件大小的限制,需要修改nginx.conf配置文件。很多人可能不知道nginx.conf文件在哪个目录下,可以采用下面的命令来查找: root@iZ94
关于Nginx + PHP上传限制
shaogeng的博客
03-29 466
php上传文件限制涉及很多方面,大致归纳一下,有如下几个:
案例28-Nginx限制文件上传大小
Wzill
03-16 1847
师范学院钥匙用体测项目,体测项目使用之前需要把学生的信息导入到系统当中。但是由于学生比较多excel表格中有1.5w人的信息。文件比较到导致在上传的过程中上传失败,因为nginx限制文件上传的大小。一开始想到的解决方案是调整nginx的配置把限制调整到可以一次性传入1.5w学生信息的配置。解决问题要想出至少三种方案,在多种方案中选取一个最优的风险最小的。不要有一种方案就直接去做。对于问题的解决可以编写一个批量导入excel表格的入口,也可以使用多线程的方式把一个大的excel拆分成多个请求进行导入。
phpmysql都正常显示版本了,安装php扩展依赖有什么用?
03-11
<think>好的,用户现在问的是安装PHP扩展依赖有什么用,他们已经确认PHPMySQL的版本都正常显示了。首先,我需要回顾之前的对话,用户是在内网搭建测试环境,使用CentOS 7.9,宝塔面板,LNMP环境,包括Nginx 1.26,MySQL 5.7,PHP 8.0phpMyAdmin 5.1。之前我给他们提供了详细的部署步骤,包括环境验证、数据库配置、项目部署、安全加固等。现在他们的PHPMySQL版本都正常,但可能在实际部署项目时遇到了需要安装扩展的情况,所以想知道这些扩展的作用。 用户可能是在部署具体用时,比如Laravel或者其他PHP框架,遇到了缺少某些扩展的错误提示,所以才会问这个问题。他们的深层需求可能是理解为什么需要这些扩展,以及如何确保他们的环境能够支持项目的正常运行。 首先,我需要解释PHP扩展的基本作用,然后分点列出常见的扩展及其用途,比如pdo_mysql用于数据库连接,mbstring处理多字节字符串,openssl用于加密等。还要提到框架库的依赖,比如Laravel需要opensslmbstring。另外,可能涉及性能优化,比如OPcache,以及特定功能需求,如图像处理的gd扩展。 然后,需要给出检查扩展的方法,比如使用php -m或者phpinfo(),以及如何通过宝塔面板安装扩展。可能还要提醒用户根据项目文档确认所需扩展,避免遗漏。 需要确保回答结构清晰,分点说明,用例子让用户更容易理解。同时,语言要简洁,避免技术术语过多,但又要准确。可能需要提醒用户,即使PHPMySQL版本正确,缺少扩展也会导致用无法运行,所以安装扩展是必要的步骤。</think>### 一、**PHP扩展的核心作用** PHP扩展本质上是为PHP核心功能添加的 **模块化增强组件**。即使PHP本身能正常运行,但若缺少特定扩展,会导致项目功能异常或完全无法运行。 --- ### 二、**常见扩展的用途详解** #### 1. **数据库连接类扩展** - **pdo_mysql**: 提供PHP与MySQL数据库的 **标准化连接接口**(PDO)。 **典型错误**: ```php SQLSTATE[HY000] [2002] No such file or directory ``` > *若未安装此扩展,Laravel等框架无法连接MySQL* #### 2. **字符处理类扩展** - **mbstring**: 支持多字节字符集(如中文、日文),解决 `strlen()` 对UTF-8返回错误长度的问题。 **典型场景**: ```php // 没有mbstring时: echo strlen("你好"); // 输出6(错误) // 安装后使用mb_strlen: echo mb_strlen("你好", 'UTF-8'); // 输出2(正确) ``` #### 3. **安全通信类扩展** - **openssl**: 支持HTTPS加密通信、JWT令牌生成等安全操作。 **依赖场景**: ```php // 生成加密签名时会报错: openssl_sign(...); // 调用失败提示函数不存在 ``` #### 4. **文件处理类扩展** - **fileinfo**: 用于检测文件MIME类型,未安装时文件上传功能会报错: ```php finfo_open(): Failed to open magic database ``` #### 5. **缓存加速类扩展** - **OPcache**: 将预编译的PHP脚本字节码缓存到内存中,可提升 **40%+ 的执行速度**。 **验证方法**: ```bash php -i | grep opcache.enable ``` --- ### 三、**框架与库的强依赖** #### 1. **Laravel框架最低扩展要求** ```php // 框架启动时会自动检测: if (!extension_loaded('openssl')) { die('缺少openssl扩展'); } ``` - **必须扩展**:`openssl`, `pdo_mysql`, `mbstring`, `tokenizer`, `xml`, `ctype`, `json` #### 2. **WordPress等CMS的扩展需求** - **gd扩展**:图片裁剪/水印功能 - **zip扩展**:主题/插件自动更新 --- ### 四、**扩展管理实践指南** #### 1. **检查已安装扩展** ```bash php -m # 命令行查看 # 或创建phpinfo.php文件 echo "<?php phpinfo();" > /www/wwwroot/test/phpinfo.php ``` #### 2. **宝塔面板安装扩展** ``` 宝塔面板 → PHP-8.0 → 安装扩展 → 勾选所需扩展 → 重启PHP ``` #### 3. **手动编译安装示例(特殊扩展)** ```bash # 例如安装redis扩展: cd /tmp wget https://pecl.php.net/get/redis-5.3.7.tgz tar zxvf redis-5.3.7.tgz cd redis-5.3.7 phpize ./configure --with-php-config=/www/server/php/80/bin/php-config make && make install ``` --- ### 五、**扩展缺失的典型故障** #### 1. **数据库连接失败** ```log # Laravel日志错误提示 PDOException: could not find driver ``` **解决方案**:安装`pdo_mysql`扩展 #### 2. **页面显示空白** ```log # 无错误提示但页面全白 ``` **可能原因**:`mbstring`或`openssl`扩展未加载 --- ### 六、**扩展选择原则** 1. **按需安装**:根据项目文档要求选择扩展 2. **性能平衡**:例如`xdebug`调试扩展在测试环境使用,生产环境关闭 3. **安全加固**:禁用高危扩展如`exec`(通过`disable_functions`配置) --- **总结**:PHP扩展如同汽车的零部件——发动机(PHP核心)能启动,但缺少轮胎(扩展)则无法正常行驶。建议通过 `composer check-platform-reqs` 命令自动检测项目依赖的扩展环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值