PHP核心配置詳解

**在不同的環境下執行的結果會大有不同，可能因為乙個配置問題，導致乙個非常高危的漏洞；在不同的php版本中配置指令也有不一樣的地方，新的版本可能會增加或者刪除部分指令，改變指令預設設定或者固定設定指令，因此在**審計的過程中必須要非常熟悉php各個版本中配置檔案的核心指令才能更高效挖掘更多的漏洞。

register_globals

全域性變數註冊開關

當該選項設定為on時，會直接把使用者get、post等當時提交上來的引數註冊成全域性變數並初始化值為引數對應的值，使得提交引數可以直接在指令碼中使用。

<5.4

allow_url_include

是否允許包含遠端檔案

在該配置為on的情況下，它可以直接包含遠端檔案，當存在include($var)時且$var可控時，可直接控制var變數來執行php**。

magic_quotes_gpc

魔術引號自動過濾

當該選項設定為on時，會自動在get、post、cookie變數中的單引號（』）、雙引號(")、反斜桿（\）以及空字元（null）前面加上反斜槓（\）

<5.4

magic_quotes_runtime

魔術引號自動過濾

與magic_qutoes_gpc的區別在於它只對資料庫或檔案中獲取的資料進行過濾。

<5.4

magic_quotes_sybase

魔術引號自動過濾

當設定為on時，它會覆蓋掉magic_qutoes_gpc=on的配置，這個配置與gpc的共同點是處理的物件一致，即都對get、post、cookie進行處理。而magic_quotes_sybase僅僅是對空字元和把單引號變成雙引號。

<5.4

safe_mode

安全模式

php內嵌的一種安全機制

<5.4

open_basedir

php可訪問目錄

用來限制php只能訪問哪些目錄，通常我們只需要設定web檔案目錄即可，如果需要載入外部指令碼，也需要把指令碼路徑所在目錄加入到open_basedir中。

disable_functions

禁用函式

可用來禁止一些敏感函式的使用

display_errors

錯誤顯示

表明是否顯示php指令碼內部錯誤的選項。

errors_reporting

錯誤顯示

在display_errors=on時，可配置該選項設定錯誤顯示級別。