PHP 5.4 中是否有 safe_mode 的替代方案？

Question

PHP 5.4 最终删除了 safe_mode 和 魔法引号。

有其他选择吗？提升安全级别？

Answer 1

我认为删除这些功能的目的是 PHP 开发团队承认在应用程序堆栈中实现安全功能/机制并不是保护 Web 应用程序安全的灵丹妙药。

不应该用直接的代码/配置来替代 PHP 中的这些功能。相反：

• 应用程序开发人员应该更明确地了解从请求和环境中读取值以及验证和转义值之类的事情，而不是让 register_globals 和 magic_quotes 等功能这样做一视同仁。
• 系统工程师和系统开发人员应该考虑应用程序所需的所有文件系统资源的权限，而不是让safe_mode限制内置函数的可访问性和功效。

我确信有人会尝试弄清楚如何重新创建这些功能，并且会有很多后期采用者选择保留 PHP 的早期版本，而不是直接解决安全问题。但如果您确实担心安全性，请不要寻找捷径。