【轉貼】php.ini 設定說明 新手必讀

[johnroyer 10]

這是小弟從 PHP Twbb 轉載過來的

每項功能都有詳細說明

總共分成 5 段

如果有任何問題的話

把說明看完

或是用搜尋功能找一下相關設定吧

php.ini 各設定詳解 :

編碼:

php.ini 或 php3.ini 是 PHP 在啟動時會讀取的設定檔。該檔的存放路徑為

/usr/local/lib/。在 PHP 3.x 版的設定檔為 php3.ini；而在 PHP 4.x 版改為

php.ini。若 PHP 安裝成伺服器的模組，則在 Web 伺服器啟動執行時會讀取，之後就

不再讀取，因此更動設定的話要重新啟動 Web 伺服器。若使用獨立 PHP CGI 方式，則

每次都讀一次。

要看目前的系統設定，可以用 phpinfo() 看到。以下為選項設定

php_value name value

設定變數名稱和值。本選項需 PHP 4.x 版之後方可使用。

php_flag name on|off

設定旗標布林變數選項。本選項需 PHP 4.x 版之後方可使用。

php_admin_value name value

設定 Apache 的設定檔變數。原來在 .htaccess 的設定改到這個選項設定。本選項需

PHP 4.x 版之後方可使用。

php_admin_flag name on|off

設定布林變數當旗標。本選項需 PHP 4.x 版之後方可使用。

asp_tags boolean

設定 PHP 程式是否剖析以 ASP Script 語法 <% %> 的標記 (tag)。本選項在 PHP

3.0.4 之後才可使用。更多的細節可以參考 嵌入方法 的部份。

auto_append_file string

設定本選項可以讓指定的檔案附加在原 PHP 程式後面自動執行。若 PHP 程式中有用到

exit() 函式，則指定的檔案不會執行。參數 string 即為指定自動執行的檔案。

auto_prepend_file string

設定本選項可以讓指定的檔案在原 PHP 程式之前自動執行。參數 string 即為指定自

動執行的檔案。

cgi_ext string

本選項設定 CGI 程式的副檔名。

display_errors boolean

本選項設定是否要將執行的錯誤訊息顯示在使用者的瀏覽器上。

doc_root string

設定伺服器的文件及 PHP 檔案放置的根目錄。

engine boolean

本選項需要使用Apache的模組方式使用 PHP。可設定是否要使用 PHP 引擎。在

httpd.conf 中加入 php3_engine on/off 亦可設定某目錄或某虛擬站台是否要用 PHP

解譯器。

error_log string

本選項用來設定錯誤記錄檔。在 UNIX 系統上參數 string 即為檔名。Windows NT 會

將記錄記在事件檢視器的日誌之中。Windows 95/98 則不支援系統記錄。

error_reporting integer

本選項用來設定系統記錄的等級。參數 integer 即為等級的級數旗標，可以加在一

起，內定值為 7，見下表

級數說明

1一般的錯誤

2一般的警告

4剖析錯誤

8非關鍵的警告

open_basedir string

本選項用來設定提供 PHP 存取的最底層目錄。從該指定目錄之下的檔案或目錄，PHP

程式方可存取。使用本選項主要是為了系統安全性的考量。參數 string 即為欲限制的

最底層目錄節點。值得注意的是在 UNIX 系統中，若該節點之下的檔案或目錄有符號鏈

結 (symbolic link)，則可能會讓使用本選項的目的打折，因此在目錄的設計上考量，

也是 Webmaster 的重要任務。內定值是所有檔案均可存取。在 PHP 3.0.7 版之後，可

以設定多個底層目錄。

gpc_order string

設定 GET/POST/COOKIE 三種模組的順序及規則。參數 string 即為欲設定的規則，例

如：設定成 "GP" 表示忽視 cookie，並在存取方法 (method) 相同時，以 POST 取代

GET。

ignore_user_abort string

內定值為 Off。用來設定當傳輸未完成時，使用者端斷線是要繼續處理。

include_path string

為 PHP 程式中 require、include 及 fopen_with_path 等函式的檔案搜尋路徑。在

UNIX 或 Windows 中的斜線方向不同。

log_errors boolean

指定程式錯誤時是否要記錄在 log 檔中。

magic_quotes_gpc boolean

設定 GET/POST/COOKIE 三種模組的特殊字元，包含單引號、雙引號、反斜線、及空字

元 (NUL) 是否要自動加入反斜線當溢出字元。

magic_quotes_runtime boolean

設定傳回資料是否自動加入反斜線當溢出字元。

magic_quotes_sybase boolean

設定 sybase 資料中單引號要自動加上反斜線當溢出字元。

max_execution_time integer

設定程式最久執行時間。單位是秒。

memory_limit integer

設定程式最多使用多少記憶體。

short_open_tag boolean

設定是否使用短的 PHP 標記 (<? ?>)。若不使用，則必須要用 <?php 作為程式的開

頭，若要使程式合乎 XML 的標準則要關閉本功能。

track_errors boolean

打開本選項可使最後的錯誤訊息跟著全域變數 $php_errormsg。

track_vars boolean

打開本選項可讓使用者輸入的字串自動剖析到變數之中，而不用自己處理。

upload_tmp_dir string

指定上傳檔案暫存路徑。

user_dir string

指定使用者自家目錄的路徑。

warn_plus_overloading boolean

若打開本選項，字串間就只能用英文的句號 (.) 連結，而不能用加號 (+) 連結字串。

SMTP string

在 Windows 系列作業系統中，用來指定 SMTP 伺服器，供 mail 函式使用。參數

string 為 SMTP 伺服器名字。

sendmail_from string

設定 "From: " 字串供 Windows 系列作業系統使用 mail 函式。

sendmail_path string

設定 sendmail 程式的放置路徑。例如 /usr/sbin/sendmail。

safe_mode boolean

設定 PHP 在安全模式下執行。

safe_mode_exec_dir string

設定安全模式程式執行的路徑。

debugger.host string

指定遠端除錯的伺服器名稱，可以是 IP 或 Domain Name。

debugger.port string

設定遠端除錯伺服器的埠號 (port)。

debugger.enabled boolean

設定是否可以為除錯模式。

enable_dl boolean

本選項要使用Apache module 的方式才有效。用來設定 PHP 的 dl() 函

式可否作用。當系統處於安全模式 (safe-mode) 時，本選項 enable 也無法使用 dl()

函式。

extension_dir string

設定動態函式的路徑。

extension string

PHP 啟動時所要載入的動態擴充功能。

mysql.allow_persistent boolean

設定是否允許 MySQL 資料庫長期連線 (persistent connections)，會影響

mysql_pconnect() 函式。

mysql.max_persistent integer

設定每個處理程序最多保持幾個 MySQL 長期連線。

mysql.max_links integer

設定每個處理程式最多開幾個 MySQL 連線，包括長期連線。

msql.allow_persistent boolean

設定是否允許 mSQL 資料庫長期連線 (persistent connections)，會影響

msql_pconnect() 函式。

msql.max_persistent integer

設定每個處理程序最多保持幾個 mSQL 長期連線。

msql.max_links integer

設定每個處理程式最多開幾個 mSQL 連線，包括長期連線。

pgsql.allow_persistent boolean

設定是否允許 Postgres 資料庫長期連線 (persistent connections)，會影響

pg_pConnect() 函式。

pgsql.max_persistent integer

設定每個處理程序最多保持幾個 Postgres 長期連線。

pgsql.max_links integer

設定每個處理程式最多開幾個 Postgres 連線，包括長期連線。

sybase.allow_persistent boolean

設定是否允許 Sybase 資料庫長期連線 (persistent connections)，會影響

sybase_pconnect() 函式。

sybase.max_persistent integer

設定每個處理程序最多保持幾個 Sybase 長期連線。

sybase.max_links integer

設定每個處理程式最多開幾個 Sybase 連線，包括長期連線。

sybct.allow_persistent boolean

設定是否允許 Sybase-CT 資料庫長期連線 (persistent connections)，內定值是開啟

的。

sybct.max_persistent integer

設定每個處理程序最多保持幾個 Sybase-CT 長期連線。內定值為 -1 表示無限制。

sybct.max_links integer

設定每個處理程式最多開幾個 Sybase-CT 連線，包括長期連線。內定值為 -1，表示沒

有限制。

sybct.min_server_severity integer

設定 Sybase-CT 伺服器錯誤報告的最少筆數。內定值為 10。

sybct.min_client_severity integer

設定 Sybase-CT 客戶端錯誤報告的最少筆數。內定值為 10。

sybct.login_timeout integer

設定 Sybase-CT 最久可以使用的登入時間。內定值為 1 分鐘。

sybct.timeout integer

設定 Sybase-CT 的 query 操作時間限制。內定值為無限制。

sybct.hostname string

設定 Sybase-CT 可連線機器名稱。內定值不設限

ifx.allow_persistent boolean

設定是否允許 Informix 資料庫長期連線 (persistent connections)，會影響

ifx_pconnect() 函式。

ifx.max_persistent integer

設定每個處理程序最多保持幾個 Informix 長期連線。

ifx.max_links integer

設定每個處理程式最多開幾個 Informix 連線，包括長期連線。

ifx.default_host string

設定 Informix 內定連線的伺服器名稱，供 ifx_connect() 或 ifx_pconnect() 函式

使用。

ifx.default_user string

設定 Informix 內定連線的使用者帳號，供 ifx_connect() 或 ifx_pconnect() 函式

使用。

ifx.default_password string

設定 Informix 內定連線的使用者密碼，供 ifx_connect() 或 ifx_pconnect() 函式

使用。

ifx.blobinfile boolean

設定 Informix 長位元物件模式，0 表在記憶體；1 表在檔案中。亦可以在 PHP 程式

中使用 ifx_blobinfile_mode() 函式來修改。

ifx.textasvarchar boolean

設定 Informix 文字模式內定值，0 表傳回 blob 的代碼；1 表傳回 varchar 字串。

亦可在 PHP 程式中使用 ifx_textasvarchar() 函式來修改設定。

ifx.byteasvarchar boolean

設定 Informix 位元組模式內定值，0 表傳回 blob 的代碼；1 表傳回 varchar 字

串。亦可在 PHP 程式中使用 ifx_byteasvarchar() 來修改設定。

ifx.charasvarchar boolean

設定 Informix 傳回字串的字尾空格是否要自動去除。

ifx.nullformat boolean

設定 NULL 欄位的傳回方式，true 表示傳回字串 NULL，false 表格傳回字串 ""。亦

可在 PHP 程式中以 ifx_nullformat() 修改。

bcmath.scale integer

設定 BC 高精確度函式庫的小數點位數。

browscap string

設定瀏覽器的開檔能力名。

uodbc.default_db string

設定 ODBC 內定連線的資料庫名稱，供 odbc_connect() 或 odbc_pconnect() 函式使

用。

uodbc.default_user string

設定 ODBC 內定連線的使用者帳號，供 odbc_connect() 或 odbc_pconnect() 函式使

用。

uodbc.default_pw string

設定 ODBC 內定連線的使用者密碼，供 odbc_connect() 或 odbc_pconnect() 函式使

用。

uodbc.allow_persistent boolean

設定是否允許 ODBC 資料庫長期連線 (persistent connections)，會影響

odbc_pconnect() 函式。

uodbc.max_persistent integer

設定每個處理程序最多保持幾個 ODBC 長期連線。

uodbc.max_links integer

設定每個處理程式最多開幾個 ODBC 連線，包括長期連線。

以下和 session 有關的設定值，都在 PHP 4.x 以上的版本方支援。在 php.ini 的設

定檔中。

session.save_handler

定義 session 儲存資料的檔案名稱。內定值為 files。

session.save_path

定義 session 儲存資料的檔案路徑。內定值為 /tmp。

session.name

設定 session 所使用的 cookie 名稱。內定值為 PHPSESSID。

session.auto_start

設定 session 是否自動開啟。內定值為 0 (否)。

session.lifetime

設定 cookie 送到瀏覽器後的保存時間，單位為秒。內定值為 0，表示直到瀏覽器關

閉。

session.serialize_handler

定義連續/解連續資料的標頭，本功能只有 WDDX 模組或 PHP 內部使用。內定值為

php。

session.gc_probability

設定每筆要求回應時的廢物蒐集 (gc, garbage collection) 處理機率。內定值為 1。

session.gc_maxlifetime

設定廢物被清除前的存活秒數。

session.extern_referer_check

決定參照到客戶端的 Session 代碼是否要刪除。有時在安全或其它考量時，會設定不

刪除。內定值為 0。

session.entropy_file

設定 session 代碼建立時，使用外部高熵值資源或檔案來建立，例如 UNIX 系統上的

/dev/random 或 /dev/urandom。

session.entropy_length

設定 session 從高熵值資源讀取的位元組數。內定值為 0。

session.use_cookies

設定是否要將 session 變成 cookie 存在使用者端。內定值為 1，表是開啟本功能。

[johnroyer 10]

#######################################

php.ini 文件詳解

########################################

; PHP還是一個不斷發展的工具，其功能還在不斷地刪減

; 而php.ini的設置更改可以反映出相當的變化，

; 在使用新的PHP版本前，研究一下php.ini會有好處的

.............................

; 關于這個文件 ;

.............................

; 這個文件控製了PHP許多方面的觀點。為了讓PHP讀取這個文件，它必須被命名為

; ´php.ini´。PHP 將在這些地方依次查找該文件︰當前工作目錄；環境變量PHPRC

; 指明的路徑；編譯時指定的路徑。

; 在windows下，編譯時的路徑是Windows安裝目錄。

; 在命令行模式下，php.ini的查找路徑可以用 -c 參數替代。

; 該文件的語法非常簡單。空白字符和用分號´;´開始的行被簡單地忽略（就象你可能

; 猜到的一樣）。 章節標題（例如 : [Foo]）也被簡單地忽略，即使將來它們可能

; 有某種的意義。

;

; 指示被指定使用如下語法︰

; 指示標識符 = 值

; directive = value

; 指示標識符 是 *大小寫敏感的* - foo=bar 不同于 FOO = bar。

;

; 值可以是一個字符串，一個數字，一個 PHP 常量 (如︰ E_ALL or M_PI), INI 常量中的

; 一個 (On, Off, True, False, Yes, No and None) ，或是一個表達式

; (如: E_ALL & ~E_NOTICE), 或是用引號括起來的字符串("foo").

;

; INI 文件的表達式被限製于位運算符和括號。

; | bitwise OR

; & bitwise AND

; ~ bitwise NOT

; ! boolean NOT

;

; 布爾標志可用 1, On, True or Yes 這些值置于開的狀態。

; 它們可用 0, Off, False or No 這些值置于關的狀態。

;

; 一個空字符串可以用在等號后不寫任何東西表示，或者用 None 關鍵字:

;

; foo = ; 將foo置為空字符串

; foo = none ; 將foo置為空字符串

; foo = "none" ; 將foo置為字符串´none´

;

; 如果你值設置中使用常量，而這些常量屬于動態調入的擴展庫（不是 PHP 的擴展，就是

; Zend 的擴展），你僅可以調入這些擴展的行*之后*使用這些常量。

;

; 所有在 php.ini-dist 文件裡設定的值與內建的默認值相同（這是說，如果 php.ini

; 沒被使用或者你刪掉了這些行，默認值與之相同）。

;;;;;;;;;;;;;;;;;;;;

; 語言選項 ;

;;;;;;;;;;;;;;;;;;;;

engine = On

; 使 PHP scripting language engine（PHP 腳本語言引擎）在 Apache下有效。

short_open_tag = On

; 允許 <? 標識（這種簡單表示）。否則 僅有 <?php and <script> tags 將被識別。

asp_tags = Off

; 允許ASP-style <% %> tags

precision = 14

; 浮點類型數顯示時的有效位數

y2k_compliance = Off

; 是否打開 2000年適應 (可能在非Y2K適應的瀏覽器中導致問題)

output_buffering = Off

; 輸出緩存允許你甚至在輸出正文內容之后發送 header（標頭，包括cookies）行

; 其代價是輸出層減慢一點點速度。你可以使用輸出緩存在運行時打開輸出緩存，

; 或者在這裡將指示設為 On 而使得所有文件的輸出緩存打開。

output_handler = ; 你可以重定向你的腳本的所有輸出到一個函數，

; 那樣做可能對處理或以日志記錄它有用。

; 例如若你將這個output_handler 設為"ob_gzhandler",

; 則輸出會被透明地為支持gzip或deflate編碼的瀏覽器壓縮。

; 設一個輸出處理器自動地打開輸出緩沖。

implicit_flush = Off

; 強製flush（刷新）讓PHP 告訴輸出層在每個輸出塊之后自動刷新自身數據。

; 這等效于在每個 print() 或 echo() 調用和每個 HTML 塊后調用flush()函數。

; 打開這項設置會導致嚴重的運行時沖突，建議僅在debug過程中打開。

allow_call_time_pass_reference = On

; 是否讓強迫函數調用時按引用傳遞參數。這一方法遭到抗議，

; 並可能在將來版本的PHP/Zend裡不再支持。

; 受到鼓勵的指定哪些參數按引用傳遞的方法是在函數聲明裡。

; 你被鼓勵嘗試關閉這一選項並確認你的腳本仍能正常工作，以保証在將來版本的語言裡

; 它們仍能工作。（你將在每次使用該特點時得到一個警告，而參數將按值而不是按引用

; 傳遞）。

; Safe Mode 安全模式

safe_mode = Off

safe_mode_exec_dir =

safe_mode_allowed_env_vars = PHP_

; ？Setting certain environment variables

; ？may be a potential security breach.

; 該指示包含用逗號分隔的前綴列表。安全模式中，用戶僅可以替換

; 以在此列出的前綴開頭的環境變量的值。

; 默認地，用戶將僅能 設定以PHP_開頭的環境變量，（如: PHP_FOO=BAR）。

; 注意: 如果這一指示為空，PHP 將讓用戶更改任意環境變量!

safe_mode_protected_env_vars = LD_LIBRARY_PATH

; 這條指示包含一個用逗號分隔的環境變量列表，那是最終用戶將不能用putenv () 更改的。

; 這些變量甚至在safe_mode_allowed_env_vars 設置為允許的情況下得到保護。

disable_functions =

; 這條指示讓你可以為了安全的原因讓特定函數失效。

; 它接受一個用逗號分隔的函數名列表。

; 這條指示 *不受* 安全模式是否打開的影響。

; 語法高亮模式的色彩。

; 只要能被<font color=???>接受的東西就能工作。

highlight.string = #DD0000

highlight.comment = #FF8000

highlight.keyword = #007700

highlight.bg = #FFFFFF

highlight.default = #0000BB

highlight.html = #000000

; Misc 雜項

expose_php = Off

; 決定 PHP 是否標示它裝在服務器上的事實（例如︰加在它 ─PHP─給Web服務

; 發送的信號上）。

; （我個人的意見，在出現什么power-by的header的時候，把這關掉。）

; 它不會有安全上的威脅, 但它使檢查你的服務器上是否安裝了PHP成為了可能。

;;;;;;;;;;;;;;;;;;;

; Resource Limits ;

;;;;;;;;;;;;;;;;;;;

max_execution_time = 30 ; 每個腳本的最大執行時間, 按秒計

memory_limit = 8388608 ; 一個腳本最大可使用的內存總量 (這裡是8MB)

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

; Error handling and logging ;

; 出錯控製和登記 ;

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

; 錯誤報告是按位的。或者將數字加起來得到想要的錯誤報告等級。

; E_ALL - 所有的錯誤和警告

; E_ERROR - 致命性運行時錯

; E_WARNING - 運行時警告（非致命性錯）

; E_PARSE - 編譯時解析錯誤

; E_NOTICE - 運行時提醒(這些經常是是你的代碼的bug引起的，

;也可能是有意的行為造成的。(如︰基于未初始化的變量自動初始化為一個

;空字符串的事實而使用一個未初始化的變量)

; E_CORE_ERROR - 發生于PHP啟動時初始化過程中的致命錯誤

; E_CORE_WARNING - 發生于PHP啟動時初始化過程中的警告(非致命性錯)

; E_COMPILE_ERROR - 編譯時致命性錯

; E_COMPILE_WARNING - 編譯時警告(非致命性錯)

; E_USER_ERROR - 用戶產生的出錯消息

; E_USER_WARNING - 用戶產生的警告消息

; E_USER_NOTICE - 用戶產生的提醒消息

; 例子:

; error_reporting = E_ALL & ~E_NOTICE ; 顯示所有的錯誤，除了提醒

; error_reporting = E_COMPILE_ERROR|E_ERROR|E_CORE_ERROR ; 僅顯示錯誤

error_reporting = E_ALL & ~E_NOTICE ; 顯示所有的錯誤，除了提醒

display_errors = On ; 顯示出錯誤信息(作為輸出的一部分)

; 在最終發布的web站點上，強烈建議你關掉這個特性，並使用

; 錯誤日志代替（參看下面）。

; 在最終發布的web站點繼續讓 display_errors 有效可能

; 暴露一些有關安全的信息，例如你的web服務上的文件路徑、

; 你的數據庫規劃或別的信息。

display_startup_errors = Off ; 甚至當display_erroes打開了，發生于PHP的啟動的步驟中

; 的錯誤也不會被顯示。

; 強烈建議保持使 display_startup_errors 關閉，

; 除了在改錯過程中。

log_errors = Off ; 在日志文件裡記錄錯誤（服務器指定的日志，stderr標準錯誤輸出，或error_log(下面的））

; 正如上面說明的那樣，強烈建議你在最終發布的web站點以日志記錄錯誤

; 取代直接錯誤輸出。

track_errors = Off ; 保存最近一個 錯誤/警告 消息于變量 $php_errormsg (boolean)

;error_prepend_string = "<font color=ff0000>" ; 于錯誤信息前輸出的字符串

;error_append_string = "</font>" ; 于錯誤信息后輸出的字符串

;error_log = filename ; 記錄錯誤日志于指定文件

;error_log = syslog ; 記錄錯誤日志于系統日志 syslog (NT 下的事件日志, Windows 95下無效)

warn_plus_overloading = Off ; 當將‘+’用于字符串時警告

;;;;;;;;;;;;;;;;;

; Data Handling ;

;;;;;;;;;;;;;;;;;

variables_order = "EGPCS" ; 這條指示描述了PHP 記錄

; GET, POST, Cookie, Environment and Built-in 這些變量的順序。

; （以 G, P, C, E & S 代表，通常以 EGPCS 或 GPC 的方式引用）。

; 按從左到右記錄，新值取代舊值。

register_globals = On ; 是否將這些 EGPCS 變量注冊為全局變量。

; 若你不想讓用戶數據不在全局范圍內混亂的話，你可能想關閉它。

; 這和 track_vars 連起來用更有意義 ─ 這樣你可以通過

; $HTTP_*_VARS[] 數組訪問所有的GPC變量。

register_argc_argv = On ; 這條指示告訴 PHP 是否聲明 argv和argc 變量

; （注︰這裡argv為數組,argc為變量數）

; （其中包含用GET方法傳來的數據）。

; 若你不想用這些變量，你應當關掉它以提高性能。

track_vars = On ; 使$HTTP_*_VARS[]數組有效，這裡*在使用時用

; ENV, POST, GET, COOKIE or SERVER替換

post_max_size = 8M ; PHP將接受的POST數據最大大小。

gpc_order = "GPC" ; 這條指示被人反對。用 variables_order 代替。

; Magic quotes

magic_quotes_gpc = On ; 在輸入的GET/POST/Cookie數據裡使用魔術引用

; （原文就這樣，呵呵，所謂magic quotes 應該是指用轉義符加在引用性的控製字符上，如 ´....）

magic_quotes_runtime= Off ; 對運行時產生的數據使用魔術引用，

; 例如︰用SQL查詢得到的數據，用exec()函數得到的數據，等等

magic_quotes_sybase = Off ; 采用 Sybase形式的魔術引用（用 ´´ 脫出 ´ 而不用 ´）

; 自動在 PHP 文檔之前和之后添加文件

auto_prepend_file =

auto_append_file =

; 象4.04b4一樣，PHP 默認地總是在 “Content-type:” 頭標輸出一個字符的編碼方式。

; 讓輸出字符集失效，只要設置為空。

; PHP 的內建默認值是 text/html

default_mimetype = "text/html"

;default_charset = "iso-8859-1"

;;;;;;;;;;;;;;;;;;;;;;;;;

; Paths and Directories ;

;;;;;;;;;;;;;;;;;;;;;;;;;

include_path = ; include 路徑設置，UNIX: "/path1:/path2" Windows: "\path1;\path2"

doc_root = ; php 頁面的根路徑，僅在非空時有效

user_dir = ; 告知 php 在使用 /~username 打開腳本時到哪個目錄下去找，僅在非空時有效

;upload_tmp_dir = ; 存放用HTTP協議上載的文件的臨時目錄（在沒指定時使用系統默認的）

upload_max_filesize = 2097152 ; 文件上載默認地限製為2 Meg

extension_dir = c:\php\ ; 存放可加載的擴充庫（模塊）的目錄

enable_dl = On ; 是否使dl()有效。

; 在多線程的服務器上 dl()函數*不能*很好地工作，

; 例如IIS or Zeus，並在其上默認為禁止

;;;;;;;;;;;;;;;;

; File Uploads ;

;;;;;;;;;;;;;;;;

file_uploads = On ; 是否允許HTTP方式文件上載

;upload_tmp_dir = ; 用于HTTP上載的文件的臨時目錄（未指定則使用系統默認）

upload_max_filesize = 2M ; 上載文件的最大許可大小

; Fopen wrappers ;

;;;;;;;;;;;;;;;;;;

allow_url_fopen = On ; 是否允許把URLs當作http:.. 或把文件當作ftp:...

;;;;;;;;;;;;;;;;;;;;;;

; 動態擴展 ;

; Dynamic Extensions ;

;;;;;;;;;;;;;;;;;;;;;;

; 若你希望一個擴展庫自動加載，用下面的語法︰

; extension=modulename.extension

; 例如，在windows上，

; extension=msql.dll

; or 在UNIX下,

; extension=msql.so

; 注意，這只應當是模塊的名字，不需要目錄信息放在裡面。

; 用上面的 extension_dir 指示指定擴展庫的位置。

;Windows 擴展

;extension=php_nsmail.dll

extension=php_calendar.dll

;extension=php_dbase.dll

;extension=php_filepro.dll

extension=php_gd.dll

;extension=php_dbm.dll

;extension=php_mssql.dll

;extension=php_zlib.dll

;extension=php_filepro.dll

;extension=php_imap4r2.dll

;extension=php_ldap.dll

;extension=php_crypt.dll

;extension=php_msql2.dll

;extension=php_odbc.dll

; 注意， MySQL的支持現在是內建的，因此，不需要用它的dll

;;;;;;;;;;;;;;;;;;;

; 模塊設定 ;

; Module Settings ;

;;;;;;;;;;;;;;;;;;;

[syslog]

define_syslog_variables = Off ; 是否定義各種的系統日志變量

; 如︰$LOG_PID, $LOG_CRON, 等等。

; 關掉它是個提高效率的好主意。

; 運行時，你可以調用函數define_syslog_variables()，來定義這些變量

[mail function]

SMTP = localhost ;僅用于win32系統

sendmail_from = [email protected] ;僅用于win32系統

;sendmail_path = ;僅用于unix, 也可支持參數（默認的是´sendmail -t -i´）

[Debugger]

debugger.host = localhost

debugger.port = 7869

debugger.enabled = False

[Logging]

; 這些配置指示用于示例的日志記錄機製。

; 看 examples/README.logging 以得到更多的解釋

;logging.method = db

;logging.directory = /path/to/log/directory

[Java]

;java.class.path = .\php_java.jar

;java.home = c:\jdk

;java.library = c:\jdk\jre\bin\hotspot\jvm.dll

;java.library.path = .\

sql.safe_mode = Off

[ODBC]

;uodbc.default_db = Not yet implemented

;uodbc.default_user = Not yet implemented

;uodbc.default_pw = Not yet implemented

uodbc.allow_persistent = On ; 允許或禁止 持久連接

uodbc.check_persistent = On ; 在重用前檢查連接是否還可用

uodbc.max_persistent = -1 ; 持久連接的最大數。-1 代表無限製

uodbc.max_links = -1 ; 連接的最大數目（持久和非持久）。-1 代表無限製

uodbc.defaultlrl = 4096 ; 控製 LONG 類型的字段。返回變量的字節數，0 代表通過（？）0 means passthru

uodbc.defaultbinmode = 1 ; 控製 二進製數據。0 代表?Huh?Handling of binary data. 0 means passthru, 1 return as is, 2 convert to char

; 見有關 odbc_binmode 和 odbc_longreadlen 的文檔以得到 uodbc.defaultlrl 和 uodbc.defaultbinmode 的解釋。

[MySQL]

mysql.allow_persistent = On ; 允許或禁止 持久連接

mysql.max_persistent = -1 ; 持久連接的最大數。-1 代表無限製

mysql.max_links = -1 ; 連接的最大數目（持久和非持久）。-1 代表無限製

mysql.default_port = ; mysql_connect() 使用的默認端口，如不設置，mysql_connect()

; 將使用變量 $MYSQL_TCP_PORT，或在/etc/services 下的mysql-tcp 條目(unix)，

; 或在編譯是定義的 MYSQL_PORT(按這樣的順序)

; Win32環境，將僅檢查MYSQL_PORT。

mysql.default_socket = ; 用于本地 MySql 連接的默認的套接字名。為空，使用 MYSQL 內建值

mysql.default_host = ; mysql_connect() 默認使用的主機（安全模式下無效）

mysql.default_user = ; mysql_connect() 默認使用的用戶名（安全模式下無效）

mysql.default_password = ; mysql_connect() 默認使用的密碼（安全模式下無效）

; 注意，在這個文件下保存密碼通常是一個*壞*主意

; *任何*可以使用PHP訪問的用戶可以運行

; ´echo cfg_get_var("mysql.default_password")´來顯示那個密碼!

; 而且當然地，任何有讀該文件權力的用戶也能看到那個密碼。

[mSQL]

msql.allow_persistent = On ; 允許或禁止 持久連接

msql.max_persistent = -1 ; 持久連接的最大數。-1 代表無限製

msql.max_links = -1 ; 連接的最大數目（持久和非持久）。-1 代表無限製

[PostgresSQL]

pgsql.allow_persistent = On ; 允許或禁止 持久連接

pgsql.max_persistent = -1 ; 持久連接的最大數。-1 代表無限製

pgsql.max_links = -1 ; 連接的最大數目（持久和非持久）。-1 代表無限製

[sybase]

sybase.allow_persistent = On ; 允許或禁止 持久連接

sybase.max_persistent = -1 ; 持久連接的最大數。-1 代表無限製

sybase.max_links = -1 ; 連接的最大數目（持久和非持久）。-1 代表無限製

;sybase.interface_file = "/usr/sybase/interfaces"

sybase.min_error_severity = 10 ; 顯示的錯誤的最低嚴重性

sybase.min_message_severity = 10 ; 顯示的消息的最低重要性

sybase.compatability_mode = Off ; 與舊版的PHP 3.0 兼容的模式。若打開，這將導致 PHP 自動地

; 把根據結果的 Sybase 類型賦予它們，

; 而不是把它們全當成字符串。

; 這個兼容模式不會永遠留著，

; 因此，將你的代碼進行需要的修改，

; 並將該項關閉。

[sybase-CT]

sybct.allow_persistent = On ; 允許或禁止 持久連接

sybct.max_persistent = -1 ; 持久連接的最大數。-1 代表無限製

sybct.max_links = -1 ; 連接的最大數目（持久和非持久）。-1 代表無限製

sybct.min_server_severity = 10 ; 顯示的錯誤的最低嚴重性

sybct.min_client_severity = 10 ; 顯示的消息的最低重要性

[bcmath]

bcmath.scale = 0 ; 用于所有bcmath函數的10十進製數數字的個數number of decimal digits for all bcmath functions

[browscap]

;browscap = extra/browscap.ini

browscap = C:\WIN\SYSTEM\inetsrv\browscap.ini

[informix]

ifx.default_host = ; ifx_connect() 默認使用的主機（安全模式下無效）

ifx.default_user = ; ifx_connect() 默認使用的用戶名（安全模式下無效）

ifx.default_password = ; ifx_connect() 默認使用的密碼（安全模式下無效）

ifx.allow_persistent = On ; 允許或禁止 持久連接

ifx.max_persistent = -1 ; 持久連接的最大數。-1 代表無限製

ifx.max_links = -1 ; 連接的最大數目（持久和非持久）。-1 代表無限製

ifx.textasvarchar = 0 ; 若打開，select 狀態符返回一個 ‘text blob’字段的內容，而不是它的id

ifx.byteasvarchar = 0 ; 若打開，select 狀態符返回一個 ‘byte blob’字段的內容，而不是它的id

ifx.charasvarchar = 0 ; 追蹤從固定長度的字符列裡剝離的空格。

; 可能對 Informix SE 用戶有效。

ifx.blobinfile = 0 ; 若打開，text和byte blobs 的內容被導出到一個文件

; 而不是保存到內存。

ifx.nullformat = 0 ; NULL（空）被作為空字段返回，除非，這裡被設為1。

; 這種情況下（為1），NULL作為字串NULL返回。

[session]

session.save_handler = files ; 用于保存/取回數據的控製方式

session.save_path = C:\win\temp ; 在 save_handler 設為文件時傳給控製器的參數，

; 這是數據文件將保存的路徑。

session.use_cookies = 1 ; 是否使用cookies

session.name = PHPSESSID

; 用在cookie裡的session的名字

session.auto_start = 0 ; 在請求啟動時初始化session

session.cookie_lifetime = 0 ; 為按秒記的cookie的保存時間，

; 或為0時，直到瀏覽器被重啟

session.cookie_path = / ; cookie的有效路徑

session.cookie_domain = ; cookie的有效域

session.serialize_handler = php ; 用于連接數據的控製器

; php是 PHP 的標準控製器。

session.gc_probability = 1 ; 按百分比的´garbage collection（碎片整理）´進程

; 在每次 session 初始化的時候開始的可能性。

session.gc_maxlifetime = 1440 ; 在這裡數字所指的秒數后，保存的數據將被視為

; ´碎片(garbage)´並由gc 進程清理掉。

session.referer_check = ; 檢查 HTTP引用以使額外包含于URLs中的ids無效

session.entropy_length = 0 ; 從文件中讀取多少字節

session.entropy_file = ; 指定這裡建立 session id

; session.entropy_length = 16

; session.entropy_file = /dev/urandom

session.cache_limiter = nocache ; 設為{nocache,private,public},以決定 HTTP 的

; 緩存問題

session.cache_expire = 180 ; 文檔在 n 分鐘后過時

session.use_trans_sid = 1 ; 使用過渡性的 sid 支持，若編譯時許可了

; --enable-trans-sid

url_rewriter.tags = "a=href,area=href,frame=src,input=src,form=fakeentry"

[MSSQL]

;extension=php_mssql.dll

mssql.allow_persistent = On ; 允許或禁止 持久連接

mssql.max_persistent = -1 ; 持久連接的最大數。-1 代表無限製

mssql.max_links = -1 ; 連接的最大數目（持久和非持久）。-1 代表無限製

mssql.min_error_severity = 10 ; 顯示的錯誤的最低嚴重性

mssql.min_message_severity = 10 ; 顯示的消息的最低重要性

mssql.compatability_mode = Off ; 與舊版的PHP 3.0 兼容的模式。

[Assertion]

; ？？？？？

;assert.active = On ; ？assert(expr); active by default

;assert.warning = On ; issue a PHP warning for each failed assertion.

;assert.bail = Off ; don´t bail out by default.

;assert.callback = 0 ; user-function to be called if an assertion fails.

;assert.quiet_eval = 0 ; eval the expression with current error_reporting(). set to true if you want error_reporting(0) around the eval().

[ingres II]

ii.allow_persistent = On ; 允許或禁止 持久連接

ii.max_persistent = -1 ; 持久連接的最大數。-1 代表無限製

ii.max_links = -1 ; 連接的最大數目（持久和非持久）。-1 代表無限製

ii.default_database = ; 默認 database (format : [node_id::]dbname[/srv_class]

ii.default_user = ; 默認 user

ii.default_password = ; 默認 password

[Verisign Payflow Pro]

pfpro.defaulthost = "test.signio.com" ; 默認的 Signio 服務器

pfpro.defaultport = 443 ; 連接的默認端口

pfpro.defaulttimeout = 30 ; 按秒計的默認超時時間

; pfpro.proxyaddress = ; 默認的代理的 IP 地址（如果需要）

; pfpro.proxyport = ; 默認的代理的端口

; pfpro.proxylogon = ; 默認的代理的登錄（logon 用戶名）

; pfpro.proxypassword = ; 默認的代理的密碼

[sockets]

sockets.use_system_read = On ; 使用系統的read() 函數替代 php_read()封裝

; Local Variables: （局部變量）

; tab-width: 4

; End:

###########################################################

自從php升級自4.1以上後做了以下的一些變動及安全上的問題請參考看看

這些數據是舊的了小弟收集到的只有這些都是精華小弟自己研究的心得很難找的..

1 display_errors 這個選項應該要關閉的

在機台上實作錯誤處理函式 . 這是因為發生錯誤時,php會開放script的

路徑資訊而且可能是一個變數名稱,這會給攻擊者更多有關系統的資訊

所以應該要關閉才對.

2.error_reporting

php提供了許多除錯及錯誤回報的功能 有需要對它進行瞭解並小心的使用來避免系統的安全性大打拆扣 ,

可以多利用error_reporting()函式來設定所要回報的錯誤種類及警告

或是在php.ini檔中設定error_reporting的值 .

php定莪許多常數讓我們使用

請至php官方查尋

如

E_ALL

E_ERROR

E_WARNING

E_PARSE

E_NOTICE

E_CORE_ERROR

E_CORE_ERROR .................

可以至ZEND網 站或PHP官方查尋

這些選項是位元摭罩 可以使用邏輯來組合 這方面請自己研究

3. open_basedir 注意了常用的函數設定fopen()

限制fopen所能存取的目錄 , 若我們肙需開啟 /home/fiend/public_html/test

下的檔案的話設定成open_basedir 在windows下可以分號[;]

來指定多個目錄 , 而在其它系統則要用冒號請記住[:]

4. variables_order

這項設定是用來控制控制環境 ' post get cookie 及伺服器變數是以何種順序

被php註冊的 , 預設為 egpcs 它表示是以環境 get post cookie 及伺服器變

數的順序來註冊的 .

後來註冊的變數會改寫前面的值,所以環境變數會被get 變數改寫 , 而get 變數

又會被post變數所改寫, 依此類推,若是post變數和get變數名稱相同時

post變數將會改寫get變數 ,

這項設定的主要用途在於將特定來源的變數給關閉,

例如環境及get變數這樣的話會設定variables 為pcs

*最重要的是s應該總是出現在最後要不就完全不出現以避免讓關鍵性的伺服器

變數被使用者所控制的變數來源所改寫

5. register_global 接受假造全域變數 這個預設4.1以上是關閉的

也是很多程式跑不動的兇手為何要關閉它呢?

這對所有的php設定來說是最危險的 對了4.1也是設開啟的~我是說4.1以上不包含4.1

若是設為開啟會讓egpcs變數變成全域變數..!!造成很大的危險和漏洞

令人注意的是 它表示使用者不用檢查變數的來源

(post get cookie : 所以我們可假造變數值 , )

這造成多數php的程式安全上的問題所以新版多數預設將它關閉

也因此造成大家對新版php4的誤解

6 . tarck_vars

這選項預設是開啟時 egpcs 變數可在陣列 $HTTP_ENV_VARS ,

$HTTP_GET_VARS , $HTTP_POST_VARS , $HTTP_COOKIE_VARS ,$HTTP_SERVER_VARS 中被找到

7. disbale_function

這個指令的引數就是我們希望php關閉的函式列表 , 在預設下 ,php 並

不會關閉任何函式 , 您會想要閉的函式有

exec() ;

passthru();

system();

shell_exec();

popen();

以上是大家比較想關閉的函數如果您在跑程式時回傳錯誤有這些1

表示這個設定把引數列進去關閉了~

8. allow_url_fopen

這會關閉開啟網站或ftp伺服器上的遠端檔案的功能 , 若是不需要由其它http

或ftp站來存取檔案時 , 就將它關閉

下一個單元再提安全模式

加強大家對php更深的了解這也是很多初學者都不知道的一定要知道

你玩起php才會更加的清楚和少問題

當然熟記函式表也是很重要的

想要成為php高手只要

1. 函式表

2. 環境設置

3. 豐富的實戰經驗

這樣就可以了

另外如果您的系統是win也有一個常見的設置錯誤

session的設定~

一般而言php是比較適合在linux等系統下運用的所以它的預設路徑是 /tmp

而相對的win下的預設目錄並不是 /tmp~這是linux的設定

請把它修改成上面一樣的解說~然後再win下新增一個c:\tmp

你的session錯誤就不見了

##########

[johnroyer 10]

###############################

php的安全模式 解開大家的迷團什麼是安全模式

###############################

為了解決分享式伺服器的安全問題 , php 有一種叫作安全模式的特性

這項特性的限制 , script 所能執行的功能 , 因而限制了惡意的script

對伺服器及其中使用者所能做的破壞!!

當開啟安全模式時 , php 會檢查看是否目前的script 擁有者和任何要

被開啟的檔案的擁有者相同. 若是使用者的id不符合 , php會發出警告

來告訴使用者說這項功能被限制住了

直接關係到安全模式行為的設定項目 , 有許多是可在 php.ini 檔中設定的.

以下就是它的設定解說 :

1. safe_mode

這指令控制安全模式是on或是off 預設下為off

2. safe_mode_gid

一般來說 , 在安全模式下開啟檔案時 ,檔案擁有者的使用者id 必需和

script的使用者id相同 , 若是您設為on時 , 會稍微放鬆 , 所以只要群組

id相同還是可以的 預設下為off

3. safe_mode_exec_dir

這個指令列出在安全模式下可執行程式的目錄若是程式不在所列的目錄

中 , 執行程式就會失敗 , 符號連結被解析,所以無法以符號連結來忽略這

項指令

4. safe_mode_allowed_env_vars

使用者在安全模式下可設定的環境變數名稱的字首列表 , 預設是

PHP_ , 所以只有以PHP_開頭的環境變數可被設定

5. safe_mode_protected_env_vars

這是一川在安全模式下被明確地加以保護的變數列表 . 即使它允許更改

所有的環境變數,這項設定仍會阻止任何列示其中的變數被修改 . 預設

下它被設為 LD_LIBRARY_PATH

以上就是對安全模式的設定與解說了

php4.2 版 對超全域陣列變數的修改和教學

######################################

# 資料來源 : http://www.twbb.org/forum

# 作 者 : FIEND ([email protected])

######################################

magic_quotes_gpc 是針對

get/post/cookie <-- 請配合 register_globals = off 超全域陣列 使用

它會將 衝碼字元 脫溢 處理

也就是早期在 php4.1.02 版以前 addslashes() <-- 的取代方式

如題 這是php4.2.0 的新作法 預設值早已 針對 gpc 處理 addslashes 相等的

脫溢字元處理

一般 開放源碼 可以發現

使用者的衝碼問題 許\ -- 表示 它是開啟的 就算沒有開啟也有可能使用addslashes 處理了

################

為何要處理 脫溢字元

並不是 只有解決衝碼那麼 簡單

sql injection 的問題

假設

select * from table.name where ID= '$_POST[iD]' ;

我可以 將 $_POST[iD] <-- 加入 1 ' ; delete from table_name ;

變成

select * from table.name where ID= '1' ; delete from table_name ;

破壞或 入伺您的資料庫系統

所以沒有開啟 magic_quotes_gpc 是非常危險的事情 !!

預設值在 4.20 以後全部強制是 開啟的

register_group = off 會強制開啟 也是要強制大家使用 超全域變數 來處理這種問題

大家在開發程式時要明白您的組態設定

要熟悉組態的調效和前因後果

開發出來的程式才不會有問題