PHP中關(guān)于php.ini參數(shù)優(yōu)化詳解

PHP引擎php.ini參數(shù)優(yōu)化

無(wú)論是apache還是nginx,php.ini都是適合的。而php-fpm.conf適合nginx+fcgi的配置

首先選擇產(chǎn)品環(huán)境的php.ini(php.ini-production)

/home/oldboy/tools/php-5.3.27/php.ini-development
/home/oldboy/tools/php-5.3.27/php.ini-production

1.打開(kāi)php的安全模式

php的安全模式是個(gè)非常重要的php內(nèi)嵌的安全機(jī)制，能夠控制一些php中的函數(shù)執(zhí)行，比如system(),同時(shí)把很多文件操作的函數(shù)進(jìn)行了權(quán)限控制。
該參數(shù)配置如下：
safe_mode = off
;是否啟用安全模式
;打開(kāi)時(shí)，php將檢查當(dāng)前腳本的擁有者是否和被操作的文件的擁有者相同。
默認(rèn)的php.ini是沒(méi)有打開(kāi)安全模式的，我們把它打開(kāi)如下:
safe_mode = On

2.用戶組安全

當(dāng)safe_mode打開(kāi)時(shí)，safe_mode_gid被關(guān)閉，那么php腳本能夠?qū)ξ募M(jìn)行訪問(wèn)，而且相同組的用戶也能夠?qū)ξ募M(jìn)行訪問(wèn)。建議設(shè)置為：
safe_mode_gid = off
如果不進(jìn)行設(shè)置，可能我們無(wú)法對(duì)我們服務(wù)器網(wǎng)站目錄下的文件進(jìn)行操作了，比如我們需要對(duì)文件進(jìn)行操作的時(shí)候。php5.3.27默認(rèn)為safe_mode_gid = off

3.關(guān)閉危險(xiǎn)函數(shù)

如果打開(kāi)了安全模式，那么函數(shù)禁止是可以不需要的，但是我們?yōu)榱税踩€是考慮進(jìn)去。比如，我們覺(jué)得不希望執(zhí)行包括system()等在那的能夠執(zhí)行命令的php函數(shù)，或者能夠查看php信息的phpinfo()等函數(shù)，那么我們就可以禁止它們，方法如下：

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

4.關(guān)閉php版本信息在http頭中的泄漏

為了防止黑客獲取服務(wù)器中php版本的信息，可以關(guān)閉該信息斜路在http頭中。
該參數(shù)默認(rèn)配置如下:
expose_php = On
;是否暴露php被安裝在服務(wù)器上的事實(shí)(在http頭重加上其簽名)
;它不會(huì)有安全上的直接威脅，但它使得客戶端知道服務(wù)器上安裝了php.
建議設(shè)置為
expose_php = Off

5.關(guān)閉注冊(cè)全局變量

在php中提交的變量，包括使用post或get提交的變量，都將自動(dòng)注冊(cè)為全局變量，能夠直接訪問(wèn)，這是對(duì)服務(wù)器非常不安全的，所以我們不能讓它注冊(cè)為全局變量，就把注冊(cè)全局變量選項(xiàng)關(guān)閉:
默認(rèn)配置：
register_globals = Off
;是否將E,G,P,C,S變量注冊(cè)為全局變量
;打開(kāi)該指令可能會(huì)導(dǎo)致嚴(yán)重的安全問(wèn)題，除非你的腳本經(jīng)過(guò)非常仔細(xì)的檢查。
;推薦使用預(yù)定義的超全局變量：$_ENV,$_GET,$_POST,$_COOKIE,$_SERVER
;該指令受variables_order指令的影響。
;php6中已經(jīng)刪除此指令。
建議設(shè)置為：
register_globals = Off

6.打開(kāi)magic_quotes_gpc來(lái)防止SQl注入

magic_quotes_pgc = Off
這個(gè)默認(rèn)是關(guān)閉的，如果它打開(kāi)后將自動(dòng)把用戶提交對(duì)sql的查詢進(jìn)行轉(zhuǎn)換，比如把'轉(zhuǎn)義為\'等，這對(duì)防止sql注入有重大作用，所以我們推薦設(shè)置為:
magic_quotes_pgc = On

7.錯(cuò)誤信息控制

一般php在沒(méi)有連接到數(shù)據(jù)庫(kù)或者其他情況下會(huì)有提示錯(cuò)誤，一般錯(cuò)誤信息中會(huì)包含php腳本當(dāng)前的路徑信息或者查詢的SQL語(yǔ)句等信息，這類信息提供給黑客后，是不安全的，所以一般服務(wù)器建議禁止錯(cuò)誤提示。
該參數(shù)默認(rèn)配置如下：
display_errors = Off
;是否將錯(cuò)誤信息作為輸出的一部分顯示給終端用戶。應(yīng)用調(diào)試時(shí)，可以打開(kāi)，方便查看錯(cuò)誤。
;在最終發(fā)布的web站點(diǎn)上，強(qiáng)烈建議你關(guān)掉這個(gè)特性，并使用錯(cuò)誤日志代替(參看下面)。
;在最終發(fā)布的web站點(diǎn)打開(kāi)這個(gè)特性可能暴露一些安全信息，
;例如你的web服務(wù)器上文件路徑、數(shù)據(jù)庫(kù)規(guī)劃或別的信息。
設(shè)置為：
display_errors = Off
(php5.3.27默認(rèn)即為display_errors = Off)
如果你確實(shí)是要顯示錯(cuò)誤信息，一定要設(shè)置顯示錯(cuò)誤的級(jí)別，比如只顯示警告以上的信息：
error_reporting = E_WARING ERROR
當(dāng)然，最好是關(guān)閉錯(cuò)誤提示。

8.錯(cuò)誤日志

建議在關(guān)閉dispaly_errors后能夠把錯(cuò)誤信息記錄下來(lái)，便于查找服務(wù)器運(yùn)行的原因：
log_errors = On
php5.3.27默認(rèn)即為log_errors = On
同時(shí)也要設(shè)置錯(cuò)誤日志存放的目錄，建議根apache的日志存在一起：
error_log = /app/logs/php_error.log
注意：給文件必須允許apache用戶的和組具有寫的權(quán)限

9.部分資源限制參數(shù)優(yōu)化

(1)設(shè)置每個(gè)腳本運(yùn)行的最長(zhǎng)時(shí)間
當(dāng)無(wú)法上傳交大的文件或者后臺(tái)設(shè)備數(shù)據(jù)經(jīng)常超時(shí)，此事需要調(diào)整如下設(shè)置：
max_execution_time = 30
;每個(gè)腳本最大允許執(zhí)行時(shí)間(秒)，0表示沒(méi)有限制。
;這個(gè)參數(shù)有助于阻止劣質(zhì)腳本無(wú)休止的占用服務(wù)器資源。
;該指令僅影響腳本本身的運(yùn)行時(shí)間，任何其他花費(fèi)在腳本運(yùn)行之外的時(shí)間
;如用system()/sleep()函數(shù)的使用、數(shù)據(jù)庫(kù)查詢、文件上傳等，都不包括在內(nèi)。
;在安全模式下，你不能用ini_set()在運(yùn)行時(shí)改變這個(gè)設(shè)置。

(2)每個(gè)腳本使用的最大內(nèi)存
memory_limit = 128M
;一個(gè)腳本所能夠申請(qǐng)到的最大內(nèi)存字節(jié)數(shù)(可以使用K和M作為單位)
;這有助于防止劣質(zhì)腳本消耗完服務(wù)器上的所有內(nèi)存。
;要能夠使用該指令必須在編譯時(shí)使用"--enable-memory-limit"配置選項(xiàng)。
;如果要取消內(nèi)存限制，則必須將其設(shè)為-1
;設(shè)置了該指令后，memory_get_usage()函數(shù)將變?yōu)榭捎谩?/p>

(3)每個(gè)腳本等待輸入數(shù)據(jù)最長(zhǎng)時(shí)間
max_input_time = -1
;每個(gè)腳本解析輸入數(shù)據(jù)(POST,GET,upload)的最大允許時(shí)間(秒)
;-1表示不限制
設(shè)置為
max_input_time = 60;

(4)上傳文件的最大許可大小
當(dāng)上傳較大文件時(shí)，需要調(diào)整如下參數(shù)：
upload_max_filesize = 2M;
;上傳文件的最大許可大小，一些圖片論壇需要這個(gè)更大的值。

10.部分安全參數(shù)優(yōu)化

(1)禁止打開(kāi)遠(yuǎn)程地址，記得最近出的php include的那個(gè)漏洞嗎？就是在一個(gè)php程序中include了變量，那么入侵者就可以利用這個(gè)控制服務(wù)器在本地執(zhí)行遠(yuǎn)程的一個(gè)php程序，例如phpshell,所以我們關(guān)閉這個(gè)。
allow_url_fopen = Off

(2)設(shè)定：cgi.fix_pathinfo=0防止Nginx文件類型錯(cuò)誤解析漏洞
cgi.fix_pathinfo=0

11.調(diào)整php sesson信息存放類型和位置

session.save_handler = files
;存儲(chǔ)和檢索與會(huì)話關(guān)聯(lián)的數(shù)據(jù)的處理器名字。默認(rèn)為文件("files")
;如果想要使用自定義的處理器(如基于數(shù)據(jù)庫(kù)的處理器)，可用"user"
;設(shè)為"memcache"則可以使用memcache作為會(huì)話處理器(需要指定"--enable-memcache-session"編譯選項(xiàng))
;session.save_path = "/tmp"
;傳遞給存儲(chǔ)處理器的參數(shù)。對(duì)于files處理器，此值是創(chuàng)建會(huì)話數(shù)據(jù)文件的路徑
參考資料：
LAMP系統(tǒng)性能調(diào)優(yōu)，第1部分：理解LAMP架構(gòu)
http://www.ibm.com/developerworks/cn/linux/l-tune-lamp-1/
LAMP系統(tǒng)性能調(diào)優(yōu)，第2部分：優(yōu)化Apache和PHP
http://www.ibm.com/developerworks/cn/linux/l-tune-lamp-2.html
LAMP系統(tǒng)性能調(diào)優(yōu)，第3部分：MySQL服務(wù)器調(diào)優(yōu)
http://www.ibm.com/developerworks/cn/linux/l-tune-lamp-3.html

安裝memcache客戶端

修改配置文件，在php.ini中全局設(shè)置：
web集群session共享存儲(chǔ)設(shè)置：
默認(rèn)php.ini中session的類型和配置路徑：
#session.save_handler = files
#session.save_path = "/tmp"
修改成如下設(shè)置：
session.save_handler = memcache
session.save_path = "tcp://10.0.0.18:11211"
提示：
1）10.0.0.18：11211為memcached數(shù)據(jù)庫(kù)緩存的IP及端口
2）上述適合LNMP，LAMP環(huán)境
3）memcached服務(wù)器也可以是多臺(tái)通過(guò)hash調(diào)度

使用tmps作為緩存加速緩存的文件目錄
mount -t tmpfs tmpfs /dev/shm -o size=256m
mount -t tmpfs /dev/shm/ /tmp/eaccelerator

1.上傳圖片縮略圖臨時(shí)處理的目錄/tmp
2.其他加速器臨時(shí)目錄 /tmp/eaccelerator

以上就是PHP中關(guān)于php.ini參數(shù)優(yōu)化詳解的詳細(xì)內(nèi)容，更多關(guān)于PHP引擎php.ini參數(shù)優(yōu)化的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！