出于安全原因启用 opcache.restrict_api

出于安全原因启用 opcache.restrict_api

本文说有opcache_get_status()启用会存在安全风险。要关闭它,必须进行配置opcache.restrict_api,但我找不到如何操作的示例。

这个人当配置为时,限制生效opcache.restrict_api=/restricted,这给了我一个线索,它需要是一条路径。

我首先创建了一个带有opcache_get_status()调用的测试脚本,并在该系统上得到了大量 PHP 脚本的输出,确认没有限制。然后我将我的编辑/etc/php/7.3/fpm/php.iniopcache.restrict_api=/dev/null,并且相同的调用现在返回bool(false)- 我认为限制已启用。

我的目标是完全禁止opcache_get_status()和类似的事情,并且通过“允许”下的脚本/dev/null,我基本上使其无法使用,因为你不能在那里保存文件。

  • 这个逻辑正确吗?
  • 我是否应该使用其他路径?
  • 有没有办法直接启用限制,而不用弄乱虚假路径?

谢谢

答案1

查看源代码ext/opcache/zend_accelerator_module.c

这是其他人使用opcache.restrict_api=1也。

如果我哪里错了,请纠正我!到那时,我觉得这基本上回答了我的问题。

相关内容