2. 程式人生 > >LNMP架構二十六(php-fpm的open_basedir )

LNMP架構二十六(php-fpm的open_basedir )

阿新 發佈:2019-01-09

二十六、php-fpm的open_basedir 

      將 PHP 所能開啟的檔案限制在指定的目錄樹,包括檔案本身。本指令不受安全模式開啟或者關閉的影響。
      當一個指令碼試圖用例如 fopen() 或者 gzopen() 開啟一個檔案時,該檔案的位置將被檢查。
       當檔案在指定的目錄樹之外時 PHP 將拒絕開啟它
       所有的符號連線都會被解析,所以不可能通過符號連線來避開此限制。

      因為如果伺服器管理多個網站,在php.ini裡定義多個open_basedir就不合適了,所以要麼在虛擬主機配置檔案裡面定義,要麼在php-fpm配置檔案裡面定義,我們可以針對不同的池子(pool)定義對應的open_basedir。

  • 配置open_basedir

    針對[www]的pool進行配置
    [[email protected] ~]# vi  /usr/local/php-fpm/etc/php-fpm.d/www.conf
    ......
    php_admin_value[open_basedir]=/data/www/test.com:/tmp/            #這裡設定了兩個目錄
    ......
    //新增上面一行配置

    重啟php-fpm:
    [[email protected] ~]# /etc/init.d/php-fpm reload
    Reload service php-fpm done

  • 測試

    [[email protected] ~]# curl -x127.0.0.1:80 test.com/1.txt
    test open_basedir

注意: 若open_basedir定義錯誤,就會導致無法訪問,形成404狀態碼,輸出curl直接連會提示“No input file specified.”

  • 定義錯誤日誌

    display_errors = Off 正常情況下,在線上這個是off的,別人不能通過瀏覽器看到你的錯誤資訊,而是把你的錯誤資訊記錄到伺服器的某一個檔案裡

    [[email protected]

    ~]# vi /usr/local/php-fpm/etc/php.ini
    ......
    display_errors=Off //搜尋display_errors 看是否為off,不是的話改為off。

    ;error_log = syslog
    error_log = /usr/local/php-fpm/var/log/php_error.log //搜尋error_log,在下面新增一行,定義錯誤日誌路徑。

    搜尋error_reporting
    註釋掉自帶的error_reporting
    ;error_reporting = E_ALL & ~E_DEPRECATED & ~E_STRICT
    error_reporting = E_ALL //定義錯誤日誌的級別。
    ......
    儲存退出

    手動建立錯誤日誌檔案:
    [[email protected] ~]# touch /usr/local/php-fpm/var/log/php_error.log
    [[email protected] ~]# chmod 777 /usr/local/php-fpm/var/log/php_error.log
     

  • 測試

    為了方便測試,故意將/usr/local/php-fpm/etc/php-fpm.d/www.conf 中的open_basedir路徑寫錯,來方便測試

    [[email protected] ~]# curl -x127.0.0.1:80 test.com/sleep.php -I
    HTTP/1.1 404 Not Found
    Server: nginx/1.8.0
    Date: Tue, 09 Jan 2018 16:57:28 GMT
    Content-Type: text/html; charset=UTF-8
    Connection: keep-alive
    X-Powered-By: PHP/7.1.6

    檢視錯誤日誌:
    [[email protected] ~]# cat /usr/local/php-fpm/var/log/php_errors.log 
    [09-Jan-2018 16:57:28 UTC] PHP Warning: Unknown: open_basedir restriction in effect. File(/data/wwwroot/test.com/sleep.php) is not within the allowed path(s): (/data/wwwroot/wwtest.com:/tmp/) in Unknown on line 0
    [09-Jan-2018 16:57:28 UTC] PHP Warning: Unknown: failed to open stream: Operation not permitted in Unknown on line 0
    //錯誤提示訪問有限制

相關推薦

LNMP架構php-fpm的open_basedir

二十六、php-fpm的open_basedir        將 PHP 所能開啟的檔案限制在指定的目錄樹,包括檔案本身。本指令不受安全模式開啟或者關閉的影響。       當一個指令碼試圖用例如 fopen() 或者

LNMP架構php-fpm程序管理【完】

二十七、php-fpm程序管理 1、php-fpm的程序管理有兩種模式 php-fpm的程序數也是可以根據設定分為動態和靜態的。 靜態模式:直接開啟指定數量的php-fpm程序,不再增加或者減少;動態模式:開始的時候開啟一定數量的php-fpm程序,當請求量變大的時候,動態的增加php-

LNMP架構php-fpm慢執行日誌

php-fpm慢執行日誌 提到慢日誌,很多人會想到mysql中的慢查詢日誌,其實php-fpm的慢執行日誌原理類似,這裡就對比的寫。 1、MySQL慢查詢   在web開發中,我們經常會寫出一些SQL語句,一條糟糕的SQL語句可能讓你的整個程式都非常慢,超過10秒一般使用者就會選擇關

LNMP架構php-fpm的pool

二十四、php-fpm的pool     php-fpm的Pool池是支援定義多個pool的。每個pool可以監聽不同的sock、tcp/ip。那nginx有好幾個站點,每個站點可以使用一個pool。這樣做的好處是當其中的一個php502(可能是php資源不夠)了。如果所

LNMP架構SSL原理

二十一、SSL原理 1、CA: CA(Certificate Authority)是證書的簽發機構,它是負責管理和簽發證書的第三方機構,是受到廣泛信任的機構。一般在我們的電腦中,瀏覽器裡,或者手機裡都會內建一批這樣的受信機構的根證書。 2、證書信任鏈: 比如我是CA機構我簽發了一

LNMP架構Nginx負載均衡

二十、Nginx負載均衡 1.nginx負載均衡   網站的訪問量越來越大,伺服器的服務模式也得進行相應的升級,比如分離出資料庫伺服器、分離出圖片作為單獨服務,這些是簡單的資料的負載均衡,將壓力分散到不同的機器上。有時候來自web前端的壓力,也能讓人十分頭痛。怎樣將同一個域名的訪問分散到

學以致用——VBA實現十進位制數字轉換為字母進位制Convert a number to letters (Excel Column number to name) with VBA

Excel列標與列名轉換問題,本質上是一個十進位制數和二十六進位制數的轉換問題。記得以前學C、C#、JAVA等程式語言時,已經做過一些相關練習了。但是,老實說,在用公式法解決這個十進位制轉二十六進位制的問題時還真是難到我了,花了好幾個小時也沒有解決。於是,求助網路,在一篇文章

VS2013/MFC程式設計入門之常用控制元件:圖片控制元件Picture Control

本節主要講一種簡單實用的控制元件,圖片控制元件Picture Control。通過使用圖片控制元件我們可以在介面某個位置顯示圖片以美化介面。        圖片控制元件簡介        圖片控制元件和前面講到的靜態文字框都是靜態文字控制元件,因此兩者的使用方法有很多

學以致用——使用VBA函式將十進位制數字轉換為字母進位制Convert a number to letters (Excel Column number to name)

利用空閒時間,開發了一個十進位制轉換為字母(相當於26進位制)的函式。功能有:1. 給定Excel列標,返回對應的列名(如,第677列對應的列名為“ZA”)(但是,Excel中的列最多為16384列,對應的列名為XFD)2. 給定任意正長整形數值(即,1到2147483647

日常運維管理技巧screen工具【完】

使用telnet或SSH遠端登入linux時,如果連線非正常中斷,重新連線時,系統將開一個新的session,無法恢復原來的session。 screen命令可以解決這個問題。   Screen工具是一個終端多路轉接器,在本質上,這意味著你能夠使用一個單一的終端視窗執行多終

2018.12.31【NOIP訓練】三七生成函式

傳送門 解析: 設 n n n位數的答案為

2019.01.02 NOIP訓練 三七生成函式

傳送門 生成函式基礎題。 題意簡述:求由1,3,5,7,9這5個數字組成的n位數個數,要求其中3和7出現的次數都要是偶數。 考慮對於每個數字構造生成函式。 對於1,5,9:

PHP識別維碼php-zbarcode

說明:擴充套件需要依賴ImageMagick和zbar,安裝前先安裝這兩個軟體 yum install ImageMagick.x86_64 ImageMagick-devel.x86_64 tar jxvf zbar-0.10.tar.bz2 cd zb

redis 一百簡單介紹之第一篇

### 前言 總結自己的redis,日常使用不是特別頻繁,所以比較基礎。 ### 開篇 redis 是無關係型資料庫,因為其實記憶體資料庫,所以常常和他的競爭對手memcached對比,因為兩者原理基礎相似,儲存方式也是key和value的方式。 在memcached中value只能是字串,而redis就

OpenCV探索之路:如何去除票據上的印章

com 票據 uid amp 去除 album 探索 ace 十六 http://pic.cnhubei.com/space.php?uid=1774&do=album&id=1338281http://pic.cnhubei.com/space.php?u

企業分布式微服務雲SpringCloud SpringBoot mybatis 集成apidoc

命令 準備工作 目錄 說明 在外 多文件 cimage ref 簡單 一、apidoc簡介 apidoc通過在你代碼的註釋來生成api文檔的。它對代碼沒有侵入性,只需要你寫好相關的註釋即可,並且它僅通過寫簡單的配置就可以生成高顏值的api接口頁面。它基於node.js,所以

Linux學習筆記grep

grepgrepgrep [-cinvABC] ‘word‘ filename -c 行數-i 不區分大小寫-n 顯示行號-v 取反-r 遍歷所有子目錄-A 後面跟數字,過濾出符合要求的行以及下面n行-B 同上,過濾出符合要求的行以及上面n行-C 同上,同時過濾出符合要求的行以及上下各n行 mkdir /tm

Linux學習總結防火墻規則之firewalld

firewalld iptables 一iptables 規則備份 service iptables save //會把規則保存到/etc/sysconfig/iptables把iptables規則備份到my.ipt文件中iptables-save > my.ipt恢復剛才備份的規則 iptab

python2.7練習小例子

mat list num 題目 stdout AC number python2.7 打印 26):題目:給一個不多於5位的正整數,要求:一、求它是幾位數,二、逆序打印出各位數字。 程序分析:學會分解出每一位數。 程序源代碼: #!/usr/b

初探 C++ 標準庫

C++ 標準庫 cout cin 操作符重載 今天我們來看下 C++ 中的標準庫,這幾天我們一直學習的是 C++ 中的一大難點,操作符重載。那麽我們想想操作符左移 << 可以重載嗎?操作符 << 的原生語義是按位左移,如:1 << 2,則