如何防范针对php.ini配置缺陷的本地包含漏洞_LFI加固指南

角色与核心任务

作为顶级的文章润色专家，你的核心使命是将AI生成的文本，巧妙转化为具备鲜明个人风格的专业内容。接下来，你需要对指定文章进行一场“人性化重写”。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

核心目标非常清晰：在不改变原文任何事实信息、核心论点、逻辑框架、章节标题以及所有图片的前提下，彻底消除原文中典型的AI表达痕迹，让最终成品读起来完全像出自一位资深人类专家之手。

这里有一个关键细节需要把握：在改写过程中，必须精准控制“个人观点”的尺度。文章需要具备温度与态度，但切忌过度使用第一人称（如“我”、“我认为”、“在我看来”），避免文章沦为纯粹的个人随笔。理想的效果是：既有行业报告般的专业深度与分析框架，又保留了口语化的流畅节奏与生动表达。

详细执行步骤

第一步：信息锚定与结构保全

深度解析：首要任务是通读并透彻理解原文，精确提取所有核心论点、分论点、支撑数据、案例，以及所有图片与图表的位置和描述信息。

结构保全：必须百分之百保留原文的所有章节标题（如H2、H3等）、段落间的逻辑关系以及信息密度。严禁合并、删减或概括任何段落内容。

第二步：风格人性化（核心改写任务）

请代入以下人设：你是在该领域深耕多年、乐于分享的专家或知名博主。现在，请用你的专业口吻，将原文的“干货知识”重新讲述给读者。

2.1 句式活化

将生硬的陈述句，转化为更自然、更具交流感的表达。可以灵活运用设问、排比、倒装等修辞手法。

✅ 例如：将“A导致了B”改为“你猜结果如何？A这个因素，直接触发了B的发生。”

✅ 例如：将“需要满足三个条件”改为“那么，具体需要满足哪几个关键条件呢？”

2.2 注入“人味儿”（需谨慎控制第一人称）

适度原则：全文第一人称（我、我认为、在我看来等）的出现频率建议严格控制在0到2处，且仅用于以下场景：

• 文章开头作为引子（例如“先说几个核心判断”）
• 强调性提醒（例如“必须警惕的是”）
• 行文过渡时的自然点缀（例如“话说回来”）

转化技巧：将主观性表达巧妙转化为客观性表述

保留生动性：在去除第一人称后，仍需保留口语化的过渡词（如“其实”、“当然”、“话说回来”）、类比手法（如“这就好比...”）和语言的节奏感，避免文章变得枯燥乏味。

2.3 文风润色

在确保专业性的基础上，让语言更加生动、富有节奏。可以尝试：

• 短句与长句交错使用，制造阅读的韵律感
• 适当运用排比、对仗来增强语言气势
• 在关键结论处加重语气（如“这才是问题的关键所在”）

第三步：最终审查与交付

完整性检查：重写完成后，务必进行核对，确保原文中的所有关键信息、数据、引用的图片（如下图1所示）都已完整无误地包含在最终文本中。

第一人称复核：专门检查全文，确保第一人称表达不超过2处，且不影响文章的专业性和客观感。

篇幅控制：最终文章篇幅应与原文大致相当，允许有10%以内的浮动。

格式输出：直接输出重写后的完整文章，并使用HTML标签进行结构化排版：主标题用

，副标题用

，段落用

。对于原文中的图片不要做出修改，保证语句通顺。

绝对禁止项（红线规则）

❌ 严禁改动任何核心信息、数据、论点和原文结构。

❌ 严禁概括或简化原文中任何复杂段落的核心内容。

❌ 严禁删除或修改任何关于图片的信息。

❌ 严禁添加例如###,***等特殊字符。

❌ 严禁为了追求客观化而把文章改得干巴巴、失去温度和节奏感。

❌ 严禁过度使用第一人称（超过2处），避免文章变成个人观点分享。

allow_url_include 和 allow_url_fopen 必须设为 Off，前者可直接导致 RCE，后者降低 SSRF 风险；需禁用危险流包装器、限制 include_path、配置 open_basedir 并严格核对各层级实际生效值。

php.ini 中 allow_url_include 和 allow_url_fopen 必须关掉

这两个配置项是LFI（本地文件包含）漏洞升级为远程代码执行（RCE）的关键跳板。一旦allow_url_include处于开启状态，攻击者就能利用php://input、data://或expect://这类协议直接执行任意代码，整个过程甚至无需文件上传或写入权限。

具体操作建议如下：

• allow_url_include = Off —— 这条配置必须设为Off，不存在任何例外场景。在On状态下，即便include()函数的参数做了白名单过滤，也存在被绕过的风险。
• allow_url_fopen = Off —— 虽然它不直接导致RCE，但关闭它可以禁用类似file_get_contents(“http://...”)的行为，从而有效减少SSRF（服务器端请求伪造）和二次包含攻击的风险。
• 修改配置后，必须重启PHP服务（例如执行systemctl restart php-fpm或apachectl graceful），仅reload配置通常不会生效。
• 检查配置是否被覆盖：在Web目录下放置一个info.php文件，内容为，通过访问该页面来搜索这两项配置的实际生效值，确认未被.htaccess或user.ini等文件覆盖。

禁用危险的伪协议和流包装器

PHP默认启用了一系列能够读取或执行内容的流包装器，这带来了安全隐患。例如，php://filter可以用来泄露源码（通过Base64编码等方式绕过?>截断），而phar://在特定反序列化场景中可能触发任意类的加载。

具体操作建议如下：

• 在php.ini中设置disable_functions = system,exec,passthru,shell_exec,proc_open,popen,parse_ini_file,show_source,highlight_file —— 这里要特别注意，不要遗漏parse_ini_file，这个函数常被攻击者用来读取配置文件，导致信息泄露。
• 对于PHP 7.4+版本，可以在应用启动脚本中使用stream_wrapper_unregister(“phar”)来注销phar流包装器。这种方法比单纯依赖disable_functions列表更为彻底。
• 避免在生产环境中启用extension=expect.so扩展。一旦这个扩展存在，expect://协议就能直接执行Shell命令，并且其行为无法通过disable_functions设置来屏蔽。

限制 include_path 和默认工作目录

当开发者使用相对路径来包含文件时（例如include “$lang.” .php），如果include_path的设置过于宽泛（比如包含了当前目录.或临时目录/tmp），攻击者就有可能通过目录遍历等手段，将恶意文件引入包含链中。

立即学习“PHP免费学习笔记（深入）”；

具体操作建议如下：

• include_path = “/var/www/app/includes” —— 明确指定唯一可信的包含路径，务必移除.（当前目录）和/tmp这类高危位置。
• 在应用入口脚本的开头，使用chdir(“/var/www/app”)来改变当前工作目录。同时，配合设置open_basedir = /var/www/app:/tmp（注意：这里的/tmp仅用于必要的日志写入等操作，不应包含可执行的业务逻辑文件）。
• 如果项目使用了Composer进行自动加载，务必确认vendor/autoload.php文件不在Web可直接访问的路径下。否则，类似?f=vendor/autoload.php的请求可能直接暴露自动加载器的行为，从而辅助攻击者进行路径猜测。

用 open_basedir 划清文件操作边界

这个配置项并非万能，但它能硬性地将PHP脚本的文件操作限制在指定的目录树内——无论是include、file_get_contents还是fopen，所有文件I/O操作都无法越界。

具体操作建议如下：

• open_basedir = /var/www/app:/tmp —— 多个路径之间使用冒号分隔（Linux系统）或分号分隔（Windows系统）。切记不能留空或简单设置为根目录/。
• 如果应用程序需要访问多个独立的目录（例如上传目录、模板目录、日志目录），应该将它们全部明确列出，不要为了省事而只设置一个公共的父目录。
• 使用Apache的用户请注意：在虚拟主机配置中使用php_admin_value open_basedir指令来设置open_basedir，可以防止该值被目录下的.htaccess文件覆盖。对于Nginx + PHP-FPM架构，则需要在对应的PHP-FPM进程池（pool）配置中添加php_admin_value[open_basedir]指令。
• 开启open_basedir限制后，getcwd()函数的返回值也会受到约束。一些依赖当前工作目录的旧代码可能会报出Warning: getcwd(): open_basedir restriction in effect警告，这时需要将代码中的相对路径改为绝对路径。

最棘手的问题往往不是某一项配置配错了，而是不同层级的配置互相覆盖、冲突——php.ini、PHP-FPM进程池配置、.htaccess、user.ini以及代码中的ini_set()函数都可能干预同一个参数。因此，在上线前，务必通过命令行执行php -i | grep -E “(allow_url|open_basedir|disable_functions)”并结合Web端phpinfo()页面的信息，进行双向核对，以确认各项安全配置的实际生效值。