Hatena::ブログ(Diary)

bojovs blog RSSフィード

2008-11-04

php.iniでよくやる設定まとめ

日本語環境への対応のためとかセキュリティのためとかで弄っておいた方がいいらしいものをまとめてみた。よくわからんのは無視しちゃってるので、参考サイト様の方を見た方がいいと思います(ぇ

ディレクティブ名説明推奨値
allow_call_time_pass_reference関数の呼び出し側で参照呼び出しを許可するかどうか。Off
expose_phpPHPのバージョン等を表示させるかどうかOff
display_errorsエラー文を表示させるかどうかOff(運用時)
log_errorsエラーをログに残すかどうかOn
log_errors_max_lenログのサイズ4096(目安)
error_logログファイル作成場所(任意)
register_globals(PHP6で削除)フォームからの変数プログラム側に反映させるかどうかOff
register_long_arrays(PHP6で削除)「$HTTP_GET_VARS」のような定義済みの長いPHP変数を定義できるようにするかどうかOff
register_argc_argv変数argvとargcを宣言するかどうかOff
magic_quotes_gpc(PHP6で削除)GPC(Get/Post/Cookie) 処理に関する magic_quotes の設定Off
default_charset文字エンコーディングの設定(任意)
file_uploadsファイルアップロード機能を使うかどうか(使わない場合はOff)
allow_url_includeリモートスクリプトにアクセス(include(), require())するかどうかOff(必要に応じてプログラム内からOn, Offの制御を行う)
session.use_only_cookiesセッションIDをURLに埋め込む攻撃を防ぐかどうかURLに付加されたセッションIDを認識するかどうか1(防ぐ) (認識しない)
session.gc_divisorすべてのセッション初期化過程でgc(ガーベッジコネクション)プロセスも始動する確率1000(サーバーの忙しさに応じて)
session.hash_functionmd5を使うかsha1を使うか1(0…md5, 1…sha1
session.cookie_httponlyJavaScriptセッションIDを利用するかどうか1(0…利用する, 1…利用しない)
mbstring.internal_encoding内部文字エンコーディングデフォルトUTF-8(任意)
mbstring.language言語環境Japanese
short_open_tagPHPタグの短縮型()を使用可能にするかどうかOff
variables_orderEnvironment(環境変数), Get, Post, Cookie, Server変数パースの順番を設定GPCS($ENVでなくgetenvを変わりに使うべきらしい)

参考サイト

pontaponta 2009/02/17 12:46 ちょっと突っ込みです
「session.use_only_cookies」は「セッションIDをURLに埋め込む攻撃を防ぐかどうか」じゃないです
「URLに付加されたセッションIDを認識するかどうか」です。

docomo携帯をサポートした携帯向けサイトを作成する場合
これがOffだとセッション情報を引き継ぐことができません。
(docomoにはクッキーが存在しないため)

ここを参考にされる方のために、修正していただければと思います。

bojovsbojovs 2009/02/17 13:12 pontaさん、
ありがとうございます。参考になります。

参考にしたサイトの趣旨がセキュリティに重点を置いたものだったため、
こちらもそのような意味合いの説明にしていました。修正させていただきます。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証

Connection: close