原标题：PHP项目安全：PHP的安装与升级

PHP脚本通过PHP解析器解析进行执行，PHP解析器本身会存在安全漏洞，合理地安装使用PHP解析器可以提高系统的安全性。

当PHP各版本中发现存在安全漏洞时，PHP官方会及时发布安全补丁来修复漏洞，应该时刻关注PHP官方发布的最新发版。表1所列是各个PHP版本的CVE漏洞数量。在每个版本中官方都会及时发布新版来修复安全漏洞，要对PHP及时升级，降低系统的安全隐患。

表1 PHP各版本的CVE漏洞数量

在PHP 4、PHP 5这些历史版本中由于支持不安全的MySQL函数，如果研发人员不重视安全问题，任意拼接字符串，那么会经常性地引起SQL注入漏洞。

在PHP 7中，有几个比较重大的改动，这些改动对于提高应用安全性有很大帮助。

1)PHP 7中移除了一些不安全的函数。如移除了对于MySQL函数的支持，MySQL函数在许多情况下是不安全的，经常由于使用不当而造成SQL注入；移除了对ereg函数的支持，ereg函数存在%00截断漏洞，导致了正则过滤被绕过。

2)在PHP 7中，password_hash函数的盐(salt)选项被弃用，因为研发人员会生成自己的salt，通常自己生成的salt是不安全的。该功能本身提供salt的加密安全，函数内部默认带有salt能力，无须研发人员提供salt。

3)capture_session_meta函数中的SSL上下文选项被弃用，PHP 7中通过stream_get_meta_data函数使用SSL元数据。

4)PHP 7中允许在代码中增加标量类型说明，有效地防止了因数据转换造成的安全隐患。PHP 7中标量类型声明有如下两种模式。

强制模式：强制模式是默认模式，不需要指定。强制模式代码示例如下。

functionsum(int …$ints) {

returnarray_sum($ints);

}

print(sum(6,'6',6.1));

上述强制模式执行代码输出“18”。

严格模式：严格模式必须明确标明。给每一个PHP文件，添加一个新的可选指令“declare(strict_types=1)；”可让同一个PHP文件内的全部函数调用和语句返回，都有一个“严格约束”的标量类型声明检查，且必须按指定变量类型来进行赋值，使变量传递变得更加安全，否则PHP会抛出错误异常。下面代码是严格模式的示例。

declare(strict_types=1);

functionsum(int …$ints) {

returnarray_sum($ints);

}

print(sum(6,'6',6.1));

图1所示是严格模式的执行输出结果。由于传入参数与定义参数的数据类型不一致，因此PHP抛出了异常。

图1 PHP 7标量的严格模式

5)在PHP 7版本中使用了更安全的随机数生成器，添加了更好的随机数random_int、random_bytes，并用其代替PHP 5的mt_rand。代码示例如下。

var_dump(random_int(100,999)); // 输出int(521)

var_dump(random_int(-1000,0)); // 输出int(-660)

random_bytes函数返回string类型，并接收一个int类型为参数，该参数规定了所返回字符串的字节长度。代码示例如下。

$bytes=random_bytes(5); // 指定5字节长度

var_dump(bin2hex($bytes)); // 输出string(10) "a435b73450"

1、尽量减少非必要模块加载

加载尽量少的模块在优化PHP性能的同时增加了安全性，使用php -m命令可以查看当前PHP加载的模块。

php-m

[PHP Modules]

bcmath

bz2

Core

…

Redis

…

[Zend Modules]

Suhosin

例如，如果用不到Redis或者ImageMagick，则完全可以将其禁用，以避免不必要的漏洞引起的安全问题。如下在配置文件中添加分号(；)将所在模块行注释化，PHP在启动后就不会加载Redis和ImageMagick模块。

#cat /etc/php.ini

; extension=php_redis.so # 禁用Redis扩展

; extension=imageick.so # 禁用Imageick扩展

2、使用第三方安全扩展

Suhosin是PHP项目的一个保护系统，它的设计初衷是为了保护服务器和用户抵御PHP项目和PHP核心中已知或者未知的缺陷。

Suhosin有两个独立的部分，可以分开使用或者联合使用。第一部分是一个用于PHP核心的补丁，它能抵御缓冲区溢出或者格式化串的弱点；第二部分是一个强大的PHP扩展，它包含其他所有的保护措施。更多的信息可以到Suhosin的官方网站进行学习。

Taint是一个用于检测xss/sqli/shell注入的PHP扩展模块，用来监测来自GET、POST、Cookie中的数据。这些从客户端接收到的数据如果没有经过过滤或转义处理而被服务端直接使用，Taint会抛出安全提示信息来警示研发人员。返回搜狐，查看更多

责任编辑：