1、PHP引擎緩存加速 常見四種軟件： 1.eAccelerator 2.Zendcache 3.xcache 4.apc 5.zendopcache php5.5自帶

2、使用tmpfs作為緩存加速緩存的文件目錄

[root@web02 ~]# mount -t tmpfs tmpfs /dev/shm -o size=256m
[root@web02 ~]# mount -t tmpfs /dev/shm/ /tmp/eaccelerator/
[root@web02 ~]# df -h
Filesystem ? ? ?Size ?Used Avail Use% Mounted on
/dev/sda3 ? ? ? 6.6G ?3.9G ?2.5G ?62% /
/dev/sda1 ? ? ? 190M ? 36M ?145M ?20% /boot
tmpfs ? ? ? ? ? 256M ? ? 0 ?256M ? 0% /dev/shm
/dev/shm ? ? ? ?238M ? ? 0 ?238M ? 0% /tmp/eaccelerator 提示： 1. 上傳圖片縮略臨時處理的目錄/tmp 2.其他加速器臨時目錄/tmp/eacclerator

---

? ??tmpfs是一種基于內存的文件系統，它和虛擬磁盤ramdisk比較類似像，但不完全相同，和ramdisk一樣，tmpfs可以使用RAM 但它也可以使用swap分區來存儲。而且傳統的ramdisk是個塊設備，要用mkfs來格式化它，才能真正地使用它；而tmpfs是一個文件系統，并不是塊設備，只是安裝它，就可以使用了。tmpfs是最好的基于RAM的文件系統 更多解釋

---

3、php.ini參數調優

無論是apache還是nginx，php.ini都是適合的。而php-fpm.conf適合nginx+fastcgi配置。首選產品環境的php.ini（php.ini-production） [root@web02 ~]# ls /home/oldboy/tools/php-5.5.32|grep php.ini
php.ini-development
php.ini-production ? ??兩者的區別：生產場景php.ini的日志都是關閉或者輸出到文件中的。所以，我們再生產場景把非程序(php引擎)上輸出都關閉或隱藏

---

3.1 打開php的安全模式 php的安全模式是個非常重要的php內嵌的安全機制，能夠控制一些php中的函數執行，比如system(),同時把很多文件操作的函數進行了權限控制。 ?safe_mode?=?On
；是否啟用安全模式。
；打開時，PHP將檢查當前腳本的擁有者是否被操作的文件的擁有者相同

---

3.2 用戶組安全 當safe_mode打開時，safe_mode_gid被關閉，那么php腳本能夠對文件進行訪問，并且相同組的用戶也能夠對文件進行訪問 建議設置為： ?safe_mode_gid?=?Off
如果不進行設置，可能我們無法對我們服務器網站目錄下的文件進行操作了，比如我們需要對文件進行操作的時候。php5.3.27默認為?safe_mode_gid?=?Off。 ?提示：5.5 此參數已經沒有了

---

3.3 關閉危險函數 如果打開了安全模式，那么函數禁止是不需要的，但是我們為了安全考慮還是設置。比如，我們覺得不希望執行包括system()等能執行命令的php函數，或者能夠查看php信息的phpinfo()等函數，那么我們就禁止它們。 ?disable_functions?=?system,passthru,exec,shell_exec,popen,phpinfo
如果你要禁止任何文件和目錄的操作，那么可以關閉很多文件操作 ?disable_functions?= chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,rmdir,rename,file,file_get_contents,fpus,fwrite,chgrp,chmod,chown
以上只是列了部分不叫常用的文件處理函數，你也可以把上面執行命令函數和這個函數結合，就能夠抵制大部分的phpshell了

---

企業面試題： 下列PHP函數中，會對系統產生安全隱患降低安全的函數有？ A.md5()? ? B.phpinfo()? ? C.shell_exec()? ? D.exec() 答案：B、C、D

---

3.4 關閉PHP版本信息在http頭中的泄漏 我們為了防止黑客獲取服務器中php版本信息，可以關閉該信息在http頭中 ?expose_php?=?Off
；是否暴露PHP被安裝在服務器上的事實（在http中加上其前面）
；它不會有安全上的直接危險，但它使得客戶端知道服務器上安裝了PHP
例子： 優化后

---

3.5 關閉注冊全局變量 在PHP中提交的變量，包括使用POST或者GET提交的變量，都會自動注冊為全局變量，能夠直接訪問，這是對服務器非常不安全的，所以我們不能讓它注冊為全局變量，就把注冊全局改變選項關閉 register_globals = Off
;是否將E,G,P,C,S 變量注冊為全局變量
;打開該指令可能會導致嚴重的安全問題，除非你的腳本經過非常仔細的檢查。
;推薦使用預定義的超全局變量：$_ENV.$_GET,$_POST,$_COOKIE,$_SERVER
;該指令受variables_order指令的影響。
提示：此參數5.5沒有

---

3.6 打開magic_quotes_gpc 來防止SQL注入 SQL注入是非常危險的問題，輕則網站后臺被入侵，重則整個服務器淪陷，所以一定要小心。 ?magic_quotes_gpc?=?Off
這個默認是關閉的，如果它打開將自動把用戶提交對sql的查詢進行轉換，比如把‘轉為\’等，這對防止sql注入有重大作用。 ?magic_quotes_gpc?=?On 提示：5.已經5沒有
SQL注入防范： Nginx 可以使用WA，防止SQL注入（nginx 基于lua模塊開發WAF） apache使用mod_security和mod_evasive 來防止SQL注入

---

3.7 錯誤信息控制 一般php在沒有連接到數據庫或者其他情況會有提示錯誤，一般錯誤信息中會包含php腳本當前的路徑信息或者查詢的SQL語句等信息，這類信息提供給黑客后，是不安全的，所以一般服務器建議禁止錯誤提示。 ?display_errors?=?Off
;是否將錯誤信息作為輸出的一部分顯示給終端用戶，應用調試時，可以打開，方便查看錯誤
;最終發布的web站點上，強烈建議你關掉這個特性，并使用錯誤日志代替
設置為 display_errors?=?Off (php5.3.27默認即為display_errors = Off)
如果確實是要顯示錯誤信息，一定設置顯示錯誤的級別，計入只顯示警告以上的信息。 信息： error_reporting = E_WARNING & E_ERROR
當然，最好是關閉錯誤提示。

---

3.8 錯誤日志 建議在關閉display_errors 后能夠把錯誤信息記錄下來，便于查找服務器運行的原因： log_errors = On (php5.3.27 默認即為log_errors = On) 同時也要設置錯誤日志存放路徑的目錄，建議根apache的日志存在一起 error_log = /app/logs/php_error.log 注意：給文件必須允許apache用戶的組具有寫的權限 日志切割可以使用cp在清空

---

4、部分資源限制參數優化

1.設置每個腳本運行的最長時間 當無法上傳較大的文件或者后臺備份數據經常超時，此時需要調整如下： max_exection_time = 30
;Maximum amout of memory a script may consume (128MB)
;每個腳本最大允許執行時間(秒)，0表示沒有限制
;這個參數有助于阻止劣質腳本無休止的占用服務器資源。
;該指令僅影響腳本本身的運行時間，任何其他花費在腳本運行之外的事件
;如果system()/sleep()函數的使用、數據庫查詢、文件上傳等，都不包括在內
;在安全模式下，你不能用int_set()在運行時改變這個設置
2.每個腳本使用的最大內存 memory_limit = 128M
;一個腳本所能狗申請到的最大內存字節數（可以使用K/M作為單位）
;這有助于防止劣質腳本消耗完服務器上的所有內存。
;要能夠使用該指令必須在編譯時使用“--enable-memory-limit”配置選項
;如果要取消內存限制，則必須將其設為-1
;設置了該指令后，memory_get_usage()函數將變為可用
3.每個腳本等待輸入數據最長時間 max_input_time = -1
;每個腳本解析輸入數據(POST,GET,upload)的最大允許時間(秒)
;-1 表示不限制。 設置為 max_input_time = 60
4.上載文件的最大許可大小 當上傳較大文件時，需要調整如下參數： upload_max_filesize = 2M;
;上載文件最大許可大小，自己改吧，一些圖片論壇需要這個更大的值。

5、部分安全優化參數

1.禁止打開遠程地址，例如：php include的那個漏洞。就是在一個php程序中include了變量，那么入侵者就可以利用這個控制服務器在本地執行遠程的一個php程序中include了變量，那么入侵者就可以利用這個控制服務器在本地執行遠程的一個php程序，例如phpshell，所以我們關閉這個 allow_url_fopen = Off
2.設置：cgi.fix_pathinfo=0 防止Nginx文件類似錯誤解析漏洞

---

注：2010年5月23日14:00前閱讀本文的朋友，請按目前v1.1版本的最新配置進行設置。

　　昨日，80Sec 爆出Nginx具有嚴重的0day漏洞，詳見《Nginx文件類型錯誤解析漏洞》。只要用戶擁有上傳圖片權限的Nginx+PHP服務器，就有被入侵的可能。

　　其實此漏洞并不是Nginx的漏洞，而是PHP PATH_INFO的漏洞，詳見：http://bugs.php.net/bug.php?id=50852&edit=1

　　例如用戶上傳了一張照片，訪問地址為http://www.domain.com/images/test.jpg，而test.jpg文件內的內容實際上是PHP代碼時，通過http://www.domain.com/images/test.jpg/abc.php就能夠執行該文件內的PHP代碼。

---

　網上提供的臨時解決方法有：

　　方法①、修改php.ini，設置cgi.fix_pathinfo = 0;然后重啟php-cgi。此修改會影響到使用PATH_INFO偽靜態的應用，例如我以前博文的URL：http://blog.zyan.cc/read.php/348.htm?就不能訪問了。

方法②、在nginx的配置文件添加如下內容后重啟：if ( $fastcgi_script_name ~ \..*\/.*php ) {return 403;}。該匹配會影響類似?http://www.domain.com/software/5.0/test.php（5.0為目錄），http://www.domain.com/goto.php/phpwind?的URL訪問。
　方法③、對于存儲圖片的location{…}，或虛擬主機server{…}，只允許純靜態訪問，不配置PHP訪問。例如在金山逍遙網論壇、
SNS上傳的圖片、附件，會傳送到專門的圖片、附件存儲服務器集群上（pic.xoyo.com），這組服務器提供純靜態服務，無任何動態PHP配置。各大網站幾乎全部進行了圖片服務器分離，因此Nginx的此次漏洞對大型網站影響不大。 本文轉載

---

6、調整php sesson 信息存放類型和位置

session.save_handler = files
;存儲和檢索與會話關聯的數據的處理器名字，默認為文件("files")
;如果想要使用自定義的處理器(如基于數據庫的處理器)，可用“user”
;設為“memcached”則可以使用memcached作為會話處理器(需要指定“--enable-memcache-seesion”編譯選項)
;session.save_path = "/tmp"
;傳遞給存儲處理器的參數，對于files處理器，此值是創建會話數據文件的路徑。 可以直接memcached來作php的session.save_handler. 修改成如下配置： session.save_handler?=?memcache
session.save_path?=?"tcp://10.0.0.18:11211"

提示：
1）10.0.0.18:11211?為memcached數據庫緩存的IP及端口。
2）上述適合LNMP,LAMP環境。
3）memcached服務器也可以是多臺通過hash調度。

---

php5.3 配置ini ? *****為重點

配置php.ini *****338?行?設置為?safe_mode?=?On?????#開啟安全模式 435?行?設置為?expose_php?=?Off???????????#關閉版本信息 538?行?設置為?display_errors?=?Off???????????#錯誤信息控制，測試的時候開啟? #報錯的級別在521行?默認為?error_reporting?=?E_ALL?&?~E_DEPRECATED 559?行?設置為?log_errors?=?On?#打開log?日志 643?行?設置為?error_log?=?/app/logs/php_errors.log???#log日志得路徑（需log_errors?為?On?才能生效） *****703?行?設置為?register_globals?=?Off????????#關閉全局變量（默認即為關閉，萬萬不能開啟） *****756?行?設置為?magic_quotes_gpc?=?On???#防止SQL注入 902?行?設置為?allow_url_fopen?=?Off?????#打開遠程打開（禁止） 854?行?設置為?cgi.fix_pathinfo=0?????????#防止Nginx文件類型錯誤解析漏洞 #可修改參數 444?max_execution_time?=?30????????#單個腳本最大運行時間，單位是秒（****開發插入程序時可能會需要把數值調大）? 454?max_input_time?=?60??????????#單個腳本等待輸入的最長時間 465?memory_limit?=?128M????????#單個腳本最大使用內存，單位為K或M（128M稍大可以適當調小） 891?upload_max_filesize?=?2M??#上傳文件最大許可 894?max_file_uploads?=?20?????????#可以通過單個請求上載的最大文件數

php-fpm.conf優化配置

?PHP 優化前后對比圖

修改后	修改前
pid = /app/log/php-fpm.pid error_log = /app/logs/php-fpm.log log_level = error events.mechanism = epoll listen.owner = www listen.group = www pm.max_children = 1024 pm.start_servers = 14 pm.min_spare_servers = 5 pm.max_spare_servers = 20 pm.process_idle_timeout = 15s; pm.max_requests = 2048 slow = /app/logs/$pool.log.slow rlimit_files = 32768 request_slowlog_timeout = 10	;pid = run/php-fpm.pid ;error_log = log/php-fpm.log ;log_level = notice ;events.mechanism = epoll ;listen.owner = www ;listen.group = www pm.max_children = 5 pm.start_servers = 2 pm.min_spare_servers = 1 pm.max_spare_servers = 3 ;pm.process_idle_timeout = 10s; ;pm.max_requests = 500 ;slowlog = log/$pool.log.slow ;rlimit_files = 1024 ;request_slowlog_timeout = 0

優化參數介紹

---

error_log = /app/logs/php-fpm.log ?#指定pid路徑 log_level = error? ??? ??? ??? ??? ??? ? #開啟日志，log級別為error events.mechanism = epoll?? ??? ? #使用epoll模式 listen.owner = www? ??? ??? ??? ??? ? #使用php的用戶 listen.group = www pm.max_children = 1024? ??? ??? ? #php子進程數量 pm.start_servers = 14? ??? ??? ??? ? #php初始啟動子進程數量 pm.min_spare_servers = 5? ??? ? #php最小空閑進程數量 pm.max_spare_servers = 20? ??? ? #php最大空閑進程數量 pm.process_idle_timeout = 15s;? ? #進程超時時間 pm.max_requests = 2048? ??? ??? ? #每個子進程退出之前可以進行的請求數 slowlog = /app/logs/$pool.log.slow? ? #開啟慢查詢日志(執行程序時間長了可以查看到) rlimit_files = 32768? ??? ??? ??? ??? ??? ? #開啟文件描述符數量 request_slowlog_timeout = 10? ??? ? #慢查詢的超時時間，超時10秒記錄

總結

以上是生活随笔為你收集整理的PHP服务Fcgi进程及PHP解析优化的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。