开启php的fsockopen函数 —— 解决DZ论坛安装问题“该函数需要 php.ini 中 allow_url_fopen 选项开启。请联系空间商,确定开启了此项功能
在配置文件中,设置display_errors=On,开启了PHP错误显示,在PHP程序遇到错误时,会暴露PHP文件和系统路径,从而容易被威胁,我们需要设置:
PHP配置文件中的disable_functions选项能够在PHP中禁用指定的函数。PHP中有很多危险的内置功能函数,如果使用不当,可造成系统崩溃。禁用函数可能会为研发带来不便,但禁用的函数太少又可能增加研发人员写出不安全代码的概率,同时为黑客非法获取服务器权限提供遍历。
PHP启动时将读取配置文件(php.ini)。对于PHP的服务器模块版本,仅在启动Web服务器时才发生一次。对于CGI和CLI版本,它会在每次调用时发生。
以上方法是命令执行完才可执行后面程序,如果你的逻辑复杂,会影响用户体验,这时可以提供一个,异步执行的方法,通知服务器执行,不占用主程序进程的方法
AppNode从安全方面考虑默认禁用一些危险的PHP函数,这让一些用户在安装Discuz论坛的时候检测出fsockopen()和 pfsockopen()函数不支持 如下图,但是不影响继续下一步安装,当然想让支持函数也很简单,如下设置;
webman是一款基于workerman开发的高性能HTTP服务框架。webman用于替代传统的php-fpm架构,提供超高性能可扩展的HTTP服务。你可以用webman开发网站,也可以开发HTTP接口或者微服务。
下面是两种常用的禁用fsockopen的方法。 修改php.ini,将 disable_functions = 后加入 fsockopen 修改php.ini,将 allow_url_fopen = On 改为 allow_url_fopen = Off fsockopen函数被禁用的解决方案
AppNode从安全方面考虑默认禁用一些危险的PHP函数,这让一些用户在安装Discuz论坛的时候检测出fsockopen()和 pfsockopen()函数不支持 如下图,但是不影响继续下一步安装,当然想让支持函数也很简单,如下设置; image.png 如果使用AppNode网站管理,进入网站管理>设置>PHP>PHP安全 这里已经配置了一些常用的函数快速设置 禁用的PHP函数去掉pfsockopen和fsockopen,并保存配置重新部署; image.png image.png 部署
在使用composer的时候报一下错误,这是因为php禁用了putenv() 函数
即便是你开启了报错功能,只要在错误语句之前加上@符号,便可屏蔽了错误信息。使用@抑制错误之前,会出现一个警告错误。
今天ytkah安装thinksns-plus的laravel项目时出现了一个错误,提示如下,这个可能跟php函数被禁用有关,查看了一下安装文档,有一项php环境要求“exec,system,scandir,symlink,shell_exec,proc_open,proc_get_status这些是在 Console 环境下使用的,尽量确保你的系统没有禁止。”
mvc是一种使用MVC(model view controller 模型-视图-控制器),设计创建web应用程序的模式。
双击解压缩所在目录位于,解压缩后的文件目录位于/www/wwwroot/pop-im-master
很明显,PHP+Mysql+Apache是很流行的web技术,这个组合功能强大,可扩展性强,还是免费的。然而,PHP的默认设置对已经上线的网站不是那么适合。下面通过修改默认的配置文件加强PHP的安全策略!
原文链接;https://xz.aliyun.com/t/9232
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/112108.html原文链接:https://javaforall.cn
无意中刷到一个文章,关于disablefunction的方法绕过的,依然是脚本小子式的复现环境。
WordPress默认上传图片的时候会自动生成缩略图及多尺寸的图片文件,大部分网站都用不到这些多余的图片,不仅仅占用空间,而且上传的时候还会消耗额外的性能。
方法一(推荐):安装的时候,在地址栏直接改step=3,跳过这一步即可安装成功。 方法二:打开安装包 /install/install.php 第50行
session比cookie安全。因为cookie是把整个cookiekey=>value都存储在浏览器上面。而session只是在浏览器上面放一个ID。数据都在数据库中,所以就算sessionid被获取利用,但是session中的数据并不会被恶意程序获取,这一点相对cookie来说就安全了一些。
一直知道opcache可以提高PHP性能,但没有具体的关注,更多的利用其他的组件来提升系统的性能。一次无意开启了opcache之后,并随意设置了一些配置。结果导致后面在使用一个项目时,发现项目总是不会读取到最新的代码,而是隔一段时间才会执行到最新代码。排查了很久才想起来开启了opcache,于是对opcache做了一个简单的学习与总结。
打开php.ini,查找disable_functions,按如下设置禁用一些函数
在 Swoole 官网增加了 在线运行 的按钮,可以直接运行首页提供的一些示例代码,当然也可以手动输出一些 PHP 代码进行测试。
什么是h5ai H5ai是一款功能强大 php 文件目录列表程序,由德国开发者 Lars Jung 主导开发,它提供多种文件目录列表呈现方式,支持多种主流 Web 服务器,例如 Nginx、Apache、Cherokee、Lighttpd 等,支持多国语言,可以使用本程序在线预览文本、图片、音频、视频等。 请注意,默认情况下,放到目录下的 .php 文件将会被直接执行,并不以文本显示。 安装 首先要先搭建好web服务器,例如:LNMP(Liunx/Ngnix/MySql/PHP) LNMP安装教程:Here
这次我们来说如何禁止php代码中执行eval函数,本来以为直接修改php.ini中的disable_function即可~
老实讲,之前很早我就发现了Flarum这个论坛程序,但是当时我还刚刚跟着摸索建站这些东西,现在才明白这些名词究竟能干嘛 最初在建站之初,我便看到了许多程序,尤其是论坛,那时候作为一个啥也不会的小白,到处找资源,逛得最多的就是那些论坛了 由此,我在想,我能不能自己建立一个论坛呢 当然,就算是萌新也知道例如dz这样的,但是一个初入站长行列的人是舍不得投入成本的,所以没有模板的dz论坛显而易见的丑,所以不久后我就放弃这个想法了。 再后来,偶然见看见了Flarum这个论坛,惊为天人,作为一个现代风的论坛颜值还是蛮高的,所以,我当时试了下, 虽然在当时理所当然没成功就是了
在架设网站的时候,有可能会使用到composer php扩展。这里呆呆简单教大家如何在llinux系统下的宝塔面板中安装composer php扩展。
PHP配置文件指令多达数百项,为了节省篇幅,这里不对每个指令进行说明,只列出会影响PHP脚本安全的配置列表以及核心配置选项。
如果a目录被黑,这样会被限制到一定范围的目录中,目录最后一定要加上/,比如/tmp/,而不是/tmp
摘要:这是一次挖掘cms通用漏洞时发现的网站,技术含量虽然不是很高,但是也拿出来和大家分享一下吧,希望能给一部分人带来收获。
开源地址:https://github.com/Brant2005/Holy-Lance 特点:简单,高大上,像极了WIN10的任务管理器界面,亲和操作方便,详细信息,还可以测试VPS性能
当解释器完成对脚本代码的分析后,便将它们生成可以直接运行的中间代码,也称为操作码(Operate Code,opcode)。Opcode cache的目地是避免重复编译,减少CPU和内存开销。如果动态内容的性能瓶颈不在于CPU和内存,而在于I/O操作,比如数据库查询带来的磁盘I/O开销,那么opcode cache的性能提升是非常有限的。但是既然opcode cache能带来CPU和内存开销的降低,这总归是好事。
如果页面中存在这些函数并且对于用户的输入没有做严格的过滤,那么就可能造成远程命令执行漏洞
PHP 编译完成后,可以通过一个简单的函数 phpinfo() 查看关于 PHP 的所有信息。以下介绍的扩展模块一览,皆全部来自于函数 phpinfo() 的输出信息。 SAPI Modules 首先介绍一下什么是 SAPI Modules,SAPI 即 Server API,Server Application Programming Interface,服务器应用程序编程接口。 ---- 1、Apache 2.0 Handler(apache2handler) 用于 Apache 2 的模块,当安装的是
漏洞类型:轻微,极为鸡肋。 漏洞名称:phpinfo暴露敏感信息, 漏洞形成:/admin/index.php最后一行 //phpinfo() if ($action == 'phpinfo') {
system和exec函数可能被配置文件禁用,可以通过修改php配置文件删除被禁用的函数。
FFmpeg安装教程: http://blog.mryxh.cn/258.html
然后呢最近不打算维护,也不打算管理,因为你看看这个时候是什么时候,我要开学啦~ 然后呢,这个论坛先用虚拟主机搭建,暂不使用云服务器,开学期间流量我想应该比我博客还要小,所以我不太慌。 (也不需要特别稳定,没有什么很重要东西,用户数据除外 但是用户数据我在阿里云买了专门的数据库,不慌)
0x00 隐藏php版本 expose_php=off 0x01 禁用危险的php函数 disable_functions=popen,pentl_exec,passthru,exec,system,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_s
Apache是非常流行的Web服务器,近几年虽然Nginx大有取代之势,但Apache仍占有不少的使用量。本文介绍生产中需要注意的一些安全配置,帮助我们搭建更稳定的Web服务。
自从建站后没多久,就把PHP的版本升级到7了,后续有升级到7.2了,一直也没关注过phpinfo的信息,今天小伙伴在群里说我草,phpinfo都看不到,我大概想了一下,好像宝塔的安全设置有个关于phpinfo显示开关的,我去找了一下,并没有发现相关开关,估计是我记错了。那这问题总得解决呀。
服务器的 Composer 版本一直都是 1.5-dev,在面板里面升级Composer也提示“当前已是最新版本,无需升级!”。显然,通过面板无法正常升级Composer版本,只能通过其他方式升级。
事情的起因是这样的 昨天晚上还在和女朋友聊天的时候,突然一个好兄弟发了一个连接给我们,说他的朋友被骗了钱,我们拿到主站的时候大概是这样的 :sun_with_face:这种站点一看就知道是那种骗人的站点,也不知为啥有这么多人相信天上掉馅饼。
Flarum 的前身是 esoTalk (opens new window)和 FluxBB (opens new window),她生来就被设计如此:
这里我选用的是腾讯云美国的服务器,预装的是centos7.9系统,预装宝塔面板,十分方便
领取专属 10元无门槛券
手把手带您无忧上云