译者注：其实这份列表还不是很全，比如“mail()”等命令也可能执行命令，所以需要自己补充一下。

[如何增强PHP的安全性]

我在上面介绍的所有攻击对于缺省安装的PHP 4都可以很好的实现，但是我已经重复了很多次，PHP的配置非常灵活，通过配置一些PHP选项，我们完全可能抵抗其中的一些攻击。下面我按照实现的难度对一些配置进行了分类：

*低难度

**中低难度

***中高难度

****高难度

上面的分类只是个人的看法，但是我可以保证，如果你使用了PHP提供的所有选项的话，那么你的PHP将是很安全的，即使是第三方的代码也是如此，因为其中很多功能已经不能使用。

**** 设置“register_globals”为“off”

这个选项会禁止PHP为用户输入创建全局变量，也就是说，如果用户提交表单变量“hello”，PHP不会创建“$ hello”，而只会创建“HTTP_GET/POST_VARS[hello]”。这是PHP中一个极其重要的选项，关闭这个选项，会给编程带来很大的不便。

*** 设置“safe_mode”为“on”

打开这个选项，会增加如下限制：

1． 限制哪个命令可以被执行

2． 限制哪个函数可以被使用

3． 基于脚本所有权和目标文件所有权的文件访问限制

4． 禁止文件上载功能

这对于ISP来说是一个伟大的选项，同时它也能极大地改进PHP的安全性。

** 设置“open_basedir”

这个选项可以禁止指定目录之外的文件操作，有效地消除了本地文件或者是远程文件被include()的攻击，但是仍需要注意文件上载和session文件的攻击。

** 设置“display_errors”为“off”，设置“log_errors”为“on”

这个选项禁止把错误信息显示在网页中，而是记录到日志文件中，这可以有效的抵制攻击者对目标脚本中函数的探测。

* 设置“allow_url_fopen”为“off”

这个选项可以禁止远程文件功能，极力推荐！
(编辑:aniston)