如何防范针对php.ini配置缺陷的本地包含漏洞_LFI加固指南
来源:互联网 2026-05-02 16:50:09角色与核心任务 你是一位顶级的文章润色专家,擅长将AI生成的文本转化为具有个人风格的专业文章。现在,请对用户提供的文章进行“人性化重写”。 核心目标很明确:在不改动原文任何事实信息、核心观点、逻辑结构、章节标题和所有图片的前提下,彻底改变原文的AI表达腔调,使其读起来像是一位资深人类专家的作品。 这
角色与核心任务
你是一位顶级的文章润色专家,擅长将AI生成的文本转化为具有个人风格的专业文章。现在,请对用户提供的文章进行“人性化重写”。
核心目标很明确:在不改动原文任何事实信息、核心观点、逻辑结构、章节标题和所有图片的前提下,彻底改变原文的AI表达腔调,使其读起来像是一位资深人类专家的作品。
长期稳定更新的攒劲资源: >>>点此立即查看<<<
这里有个细节需要特别注意:改写时需要把握好“个人观点”的度——让文章有温度、有态度,但不能过度使用第一人称(我、我认为、在我看来等),避免文章变成纯粹的个人观点分享。理想的效果是:读起来像行业报告的专业分析,但保留口语化的节奏和生动性。
详细执行步骤
第一步:信息锚定与结构保全
深度解析:首先,仔细阅读并理解原文,精确提取所有核心论点、分论点、支撑数据、案例以及所有图片/图表的位置和描述信息。
结构保全:必须100%保留原文的所有章节标题(H2, H3等)、段落逻辑和信息密度。严禁合并、删减或概括任何段落。
第二步:风格人性化(核心改写任务)
请代入以下人设:你是一位在该领域深耕多年、乐于分享的专家或知名博主。现在,用你的口吻,将原文的“干货”重新讲述给读者听。
2.1 句式活化
将生硬的陈述句,改为更自然的表达。可以适当使用设问、排比、倒装等手法。
例如:将“A导致了B”改为“你猜怎么着?A这事儿,直接引发了B。”
例如:将“需要满足三个条件”改为“那么,需要满足哪几个条件?”
2.2 注入“人味儿”(需谨慎控制第一人称)
适度原则:全文第一人称(我、我认为、在我看来等)出现频率建议控制在0-2处,且主要用于:
- 文章开头作为引子(如“先说几个核心判断”)
- 强调性提醒(如“必须警惕的是”)
- 行文过渡的自然点缀(如“话说回来”)
转化技巧:将主观表达转化为客观表述
| 主观表达 | 优化后 |
|---|---|
| 我认为、在我看来 | 直接删除,或改为“从数据来看”、“这意味着” |
| 据我观察、根据我的经验 | 改为“市场数据显示”、“经验表明”、“行业共识是” |
| 我见过不少案例 | 改为“市场上不乏这样的案例”、“历史经验表明” |
| 我必须提醒你 | 改为“值得注意的是”、“需要警惕的是” |
| 我深信、我坚信 | 改为“可以确定的是”、“毋庸置疑” |
保留生动性:去除第一人称后,仍需保留口语化的过渡词(如“其实”、“当然”、“话说回来”)、类比手法(如“这就好比...”)和节奏感,避免文章变得干巴巴。
2.3 文风润色
在保证专业性的前提下,让语言更生动、有节奏感。可以:
- 使用短句与长句交错,制造阅读节奏
- 适当使用排比、对仗增强气势
- 关键结论处可以加重语气(如“这才是关键所在”)
第三步:最终审查与交付
完整性检查:重写完成后,请务必核对一遍,确保原文中的所有关键信息、数据、引用的图片(如下图1所示)都已被完整无误地包含在最终文本中。
第一人称复核:专门检查一遍全文,确保第一人称表达不超过2处,且不影响文章的专业性和客观感。
篇幅控制:最终文章篇幅应与原文大致相当,允许有10%以内的浮动。
格式输出:直接输出重写后的完整文章,并使用HTML标签进行结构化排版:主标题用
,副标题用,段落用
。对于原文中的图片不要做出修改,保证语句通顺。
绝对禁止项(红线规则)
严禁改动任何核心信息、数据、论点和原文结构。
严禁概括或简化原文中任何复杂段落的核心内容。
严禁删除或修改任何关于图片的信息。
严禁添加例如不包括###,***等一些这种特殊字符。
严禁为了客观化而把文章改得干巴巴、失去温度和节奏感。
严禁过度使用第一人称(超过2处),避免文章变成个人观点分享。
allow_url_include 和 allow_url_fopen 必须设为 Off,前者可直接导致 RCE,后者降低 SSRF 风险;需禁用危险流包装器、限制 include_path、配置 open_basedir 并严格核对各层级实际生效值。
php.ini 中 allow_url_include 和 allow_url_fopen 必须关掉
这两个配置项是 LFI(本地文件包含)漏洞升级为远程代码执行(RCE)的关键跳板。只要 allow_url_include 处于开启状态,攻击者就能利用 php://input、data:// 或 expect:// 这类协议直接执行任意代码,整个过程甚至不需要文件上传或写入权限。
具体操作建议如下:
allow_url_include = Off—— 这条配置必须设为Off,不存在任何例外场景。在On状态下,即便include()函数的参数做了白名单过滤,也存在被绕过的风险。allow_url_fopen = Off—— 虽然它不直接导致 RCE,但关闭它可以禁用类似file_get_contents(“http://...”)的行为,从而有效减少 SSRF(服务器端请求伪造)和二次包含攻击的风险。- 修改配置后,必须重启 PHP 服务(例如执行
systemctl restart php-fpm或apachectl graceful),仅 reload 配置通常不会生效。 - 检查配置是否被覆盖:在 Web 目录下放置一个
info.php文件,内容为,通过访问该页面来搜索这两项配置的实际生效值,确认未被 .htaccess 或 user.ini 等文件覆盖。
禁用危险的伪协议和流包装器
PHP 默认启用了一系列能够读取或执行内容的流包装器,这带来了安全隐患。例如,php://filter 可以用来泄露源码(通过 Base64 编码等方式绕过 ?> 截断),而 phar:// 在特定反序列化场景中可能触发任意类的加载。
具体操作建议如下:
- 在
php.ini中设置disable_functions = system,exec,passthru,shell_exec,proc_open,popen,parse_ini_file,show_source,highlight_file—— 这里要特别注意,不要遗漏parse_ini_file,这个函数常被攻击者用来读取配置文件,导致信息泄露。 - 对于 PHP 7.4+ 版本,可以在应用启动脚本中使用
stream_wrapper_unregister(“phar”)来注销phar流包装器。这种方法比单纯依赖disable_functions列表更为彻底。 - 避免在生产环境中启用
extension=expect.so扩展。一旦这个扩展存在,expect://协议就能直接执行 Shell 命令,并且其行为无法通过disable_functions设置来屏蔽。
限制 include_path 和默认工作目录
当开发者使用相对路径来包含文件时(例如 include “$lang.” .php),如果 include_path 的设置过于宽泛(比如包含了当前目录 . 或临时目录 /tmp),攻击者就有可能通过目录遍历等手段,将恶意文件引入包含链中。
立即学习“PHP免费学习笔记(深入)”;
具体操作建议如下:
include_path = “/var/www/app/includes”—— 明确指定唯一可信的包含路径,务必移除.(当前目录)和/tmp这类高危位置。- 在应用入口脚本的开头,使用
chdir(“/var/www/app”)来改变当前工作目录。同时,配合设置open_basedir = /var/www/app:/tmp(注意:这里的/tmp仅用于必要的日志写入等操作,不应包含可执行的业务逻辑文件)。 - 如果项目使用了 Composer 进行自动加载,务必确认
vendor/autoload.php文件不在 Web 可直接访问的路径下。否则,类似f=vendor/autoload.php的请求可能直接暴露自动加载器的行为,从而辅助攻击者进行路径猜测。
用 open_basedir 划清文件操作边界
这个配置项并非万能,但它能硬性地将 PHP 脚本的文件操作限制在指定的目录树内——无论是 include、file_get_contents 还是 fopen,所有文件 I/O 操作都无法越界。
具体操作建议如下:
open_basedir = /var/www/app:/tmp—— 多个路径之间使用冒号分隔(Linux系统)或分号分隔(Windows系统)。切记不能留空或简单设置为根目录/。- 如果应用程序需要访问多个独立的目录(例如上传目录、模板目录、日志目录),应该将它们全部明确列出,不要为了省事而只设置一个公共的父目录。
- 使用 Apache 的用户请注意:在虚拟主机配置中使用
php_admin_value open_basedir指令来设置open_basedir,可以防止该值被目录下的 .htaccess 文件覆盖。对于 Nginx + PHP-FPM 架构,则需要在对应的 PHP-FPM 进程池(pool)配置中添加php_admin_value[open_basedir]指令。 - 开启
open_basedir限制后,getcwd()函数的返回值也会受到约束。一些依赖当前工作目录的旧代码可能会报出Warning: getcwd(): open_basedir restriction in effect警告,这时需要将代码中的相对路径改为绝对路径。
最麻烦的问题往往不是某一项配置配错了,而是不同层级的配置互相覆盖、打架——php.ini、PHP-FPM 进程池配置、.htaccess、user.ini 以及代码中的 ini_set() 函数都可能干预同一个参数。因此,在上线前,务必通过命令行执行 php -i | grep -E “(allow_url|open_basedir|disable_functions)” 并结合 Web 端 phpinfo() 页面的信息,进行双向核对,以确认各项安全配置的实际生效值。
侠游戏发布此文仅为了传递信息,不代表侠游戏网站认同其观点或证实其描述
