PHP脚本木马的高级防范经验

让我们来修改httpd.conf文件以增强我们的网站安全性。如果你只希望PHP脚本在特定的web目录中操作，比如你的web目录是/usr/local/apache/htdocs，你可以在httpd.conf文件中设置特定的操作路径限制。通过添加如下行来限制PHP的活动范围：

php_admin_value open_basedir /usr/local/apache/htdocs

这样设置后，如果脚本尝试读取/usr/local/apache/htdocs以外的文件，将会收到警告：open_basedir限制生效。文件位于错误的目录中。类似这样的错误提示将在/usr/local/apache/htdocs/open.php文件的第4行显示。

接下来，为了防止PHP木马执行webshell，我们可以激活safe_mode，并在phpi文件中设置disable_functions。你可以选择禁用如passthru，exec，shell_exec，system等功能。这些功能如果被恶意利用，可能会被植入PHP木马。

为了防止PHP木马读写文件目录，我们需要在phpi中的disable_functions列表中添加一些处理文件的函数，如fopen，mkdir，rmdir，chmod，unlink等。这样一来，PHP木马就无法通过这些函数进行文件操作了。

如果你在Windows平台上运行Apache，还需要注意Apache的默认运行权限是system权限，这可能会带来安全隐患。为了降低Apache的权限，我们可以创建一个不属于任何组的用户，比如建立一个名为apache的用户。在计算机管理器中，选择服务并找到Apache服务的属性。在“Log On”选项卡下，选择“This account”，然后填入刚刚创建的账户和密码。这样重启Apache服务后，它就会在低权限下运行。

实际上，我们还可以通过设置各个文件夹的权限来进一步限制Apache的访问权限。为每一个目录建立单独能读写的用户，这样可以让Apache用户只能执行我们允许的操作。这种配置方法在很多虚拟主机提供商中非常流行。虽然这种方法对于防止恶意行为非常有效，但在某些情况下可能会显得有些过于复杂。保护服务器安全需要综合考虑各种因素并采取适当的措施。