1

我刚刚完成了一个我想作为开源发布的 CMS。该程序具有一些ini_set()设置安全环境的指令,例如session.use_only_cookies等。问题是某些主机不允许ini_set()并且只允许使用php.ini文件进行配置。有没有办法在广泛的 PHP 配置基础上建立一个安全的 PHP 环境?其他 PHP 程序如何面对这个问题(例如 Wordpress、Drupal 等)。

4

2 回答 2

2

一般来说 :

  • 在您的软件中:
    • 尽量不要依赖太多系统范围的设置
    • 有一些适用于默认设置的东西 (请参阅默认 PHP 安装提供的 php.ini 文件——来自 php.net 和来自主要 Linux 发行版)
  • 写一些简短而清晰的需求清单
  • 编写某种安装脚本,它将:
    • 自动检查这些要求,
    • 并解释如何设置那些未正确配置的
于 2011-03-17T11:11:20.657 回答
0

如果遇到您认为不安全的设置,您可以输出警告。

许多网络应用程序都是这样做的,例如,如果安装脚本没有被删除,或者管理员有默认密码。

于 2011-03-17T11:11:03.340 回答