应将配置文件移出Web根目录、用环境变量替代硬编码、禁用敏感函数与错误回显、关键数据运行时加密。四类措施协同保障PHP应用安全,任一环节缺失都可能导致防护失效。
把配置文件移出 Web 根目录
Web 服务器(如 Apache、Nginx)默认只禁止访问 .htaccess 或 .php 文件,但不会自动阻止用户直接请求 config.php。如果它放在 /var/www/html/config.php 这类可被 URL 访问的路径下,一旦 PHP 解析失败或服务器配置异常,源码可能裸露。
正确做法是将配置文件放到 Web 根目录之外,比如:
-
/var/www/config/database.php(根目录为/var/www/html/) - 在入口脚本中用 绝对路径 引入:
require '/var/www/config/database.php';
这样即使 URL 拼出 https://site.com/config/database.php,服务器也返回 404,根本无法触发文件读取。
用环境变量替代硬编码配置
数据库密码、API 密钥这类敏感值,不写进 PHP 文件,而是通过系统环境变量注入。PHP 7.1+ 支持 getenv() 和 $_ENV,配合 Web 服务器设置更安全。
立即学习“PHP免费学习笔记(深入)”;
例如,在 Nginx 的 server 块中加:
fastcgi_param DB_HOST "127.0.0.1"; fastcgi_param DB_PASS "s3cr3t!";
PHP 中直接读取:
$host = getenv('DB_HOST') ?: 'localhost';$pass = $_ENV['DB_PASS'] ?? '';
开发时可用 .env 文件配合 vizualab/phpdotenv 类库加载,上线后删掉 .env,只靠服务器环境变量运行——避免文件被误传到 Git 或公开目录。
禁用敏感函数与错误回显
某些函数(如 phpinfo()、system()、exec())在调试阶段有用,但上线后必须禁用;同时关闭错误详情,防止泄露路径、版本、SQL 结构等。
- 在 php.ini 中设置:
disable_functions = phpinfo,system,exec,passthru,shell_exec,proc_open - 关闭错误显示:
display_errors = Off,改用日志:log_errors = On,并确保error_log路径不在 Web 可访问范围内 - 检查是否生效:
var_dump(ini_get('disable_functions'));
关键数据运行时加密,而非仅存储加密
密码必须用 password_hash() + password_verify(),这是 PHP 内置且推荐的方式。但其他敏感字段(如用户手机号、身份证号)若需“可逆解密”,不能用 base64 或简单 XOR —— 要用 OpenSSL 的 AES-256-CBC,并严格管理密钥生命周期。
- 密钥不要写死在代码里,应从环境变量或专用密钥管理服务(如 HashiCorp Vault)获取
- 加密前加随机 IV,每次调用都不同;IV 可与密文一起存储(无需保密),但必须验证完整性(如用 HMAC)
- 避免自己实现加密逻辑,优先使用
openssl_encrypt()/openssl_decrypt()并检查返回值是否 false
基本上就这些。不复杂,但容易忽略其中一环,就可能让整套防护形同虚设。
