open_basedir 严重影响PHP I/O性能
这是昨天看到的一篇文章,看完后,我针对服务器等做了一下测试,确实有影响。毕竟open_basedir在每一次require,include以及判断文件等的时候,都要先判断是否在可执行目录内。所以。。。性能就会下降(如果是用框架的,可能性能会更差一点),如果是自己的机器,一般也可以通过设定文件目录权限,来防止这种情况发生【linux可以指定用户、用户组。windows可以设定目录的所有者(当时在win下我就最烦这个,因为需要为每个虚拟主机添加一个用户,再指定权限,然后再到目录上设定用户)】
下面就是我看到的文章的内容:
今天在做项目的时候发现 没几行语句 竟然耗费了0.04秒
十分让我吃惊.随后进行跟踪 得知就在I/O读写的时候最费时间 一个is_file竟然费了0.003秒
后来让我百思不得其解 Google也没有任何答案.
然后我又把项目放到另外一个电脑上 发现速度直线上升 从以前的0.04秒变成了0.007秒左右.
我很纳闷 难道我的本本就这么差劲不应该啊
经过我的比较 我发现了 在我机器上的这个项目的虚拟主机中 设置了open_basedir.
大家都知道 这个对于虚拟主机来说是必不可少的..
但是后来我又进行测试一遍 难道真的是这样吗
我的测试代码非常简单:
PHP代码
01.$time = microtime(true);
02.is_file('1.html');
03.echo microtime(true) - $time;
我的弄了一个空的1.html文件 这个文件是在当前目录绝对存在的.
我新建了一个虚拟主机 然后设置了一下open_basedir.
得到的结果是0.0018570423126221左右
然后我进apache的配置文件 把open_basedir删除以后
得到的结果是5.0067901611328E-5 这个结果小到PHP中的小数点都不能表示了
(注:以上结果都是多次运行缓存后的结果 因为is_file的结果会被缓存的)
现在我终于明白了 为啥虚拟主机那些探针中 I/O的性能都那么小的原因了..
杯具啊..
各位也可以测试。。实测如此。
----------------------
取消该设置,或者 ../:./:/tmp:../../
----------------------
如下是php.ini中的原文说明以及默认配置:
; open_basedir, if set, limits all file operations to the defined directory
; and below. This directive makes most sense if used in a per-directory or
; per-virtualhost web server configuration file. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
open_basedir = .
open_basedir可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径,也
可用符号"."来代表当前目录。注意用open_basedir指定的限制实际上是前缀,而不是目录名。
举例来说: 若"open_basedir = /dir/user", 那么目录 "/dir/user" 和 "/dir/user1"都是
可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。例如设置成:
"open_basedir = /dir/user/"
open_basedir也可以同时设置多个目录, 在Windows中用分号分隔目录,在任何其它系统中用
冒号分隔目录。当其作用于Apache模块时,父目录中的open_basedir路径自动被继承。
有三种方法可以在Apache中为指定的用户做独立的设置:
(a) 在Apache的httpd.conf中Directory的相应设置方法:
php_admin_value open_basedir /usr/local/apache/htdocs/
#设置多个目录可以参考如下:
php_admin_value open_basedir /usr/local/apache/htdocs/:/tmp/
(b) 在Apache的httpd.conf中VirtualHost的相应设置方法:
php_admin_value open_basedir /usr/local/apache/htdocs/
#设置多个目录可以参考如下:
php_admin_value open_basedir /var/www/html/:/var/tmp/
(c) 因为VirtualHost中设置了open_basedir之后, 这个虚拟用户就不会再自动继承php.ini
中的open_basedir设置值了,这就难以达到灵活的配置措施, 所以建议您不要在VirtualHost
中设置此项限制. 例如,可以在php.ini中设置open_basedir = .:/tmp/, 这个设置表示允许
访问当前目录(即PHP脚本文件所在之目录)和/tmp/目录.
请注意: 若在php.ini所设置的上传文件临时目录为/tmp/, 那么设置open_basedir时就必须
包含/tmp/,否则会导致上传失败. 新版php则会提示"open_basedir restriction in effect"
警告信息, 但move_uploaded_file()函数仍然可以成功取出/tmp/目录下的上传文件,不知道
这是漏洞还是新功能.
针对ShopEx472版本的配置:
open_basedir = "D:/Server;../catalog;../include;../../home;../syssite;../templates;../language;../../language;../../../language;../../../../language"
网站的安全与性能似乎是矛与盾的关系。对于一个php网站来说,尤其难以取舍。举个最简单的例子:php配置文件的open_basedir将 PHP 所能打开的文件限制在指定的目录树,包括文件本身。本来这对于网站的安全是十分有利的;但据笔者从网上获取的资料来看,open_basedir会对php操作io的性能产生很大的影响。研究资料表明,配置了php_basedir的脚本io执行速度会比没有配置的慢10倍甚至更多!
起初,我也不太相信这个结果,不过测试数据却说服我承认这个观点。
创建一个简单的脚本:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
<?php
function microtime_float()
{
list( $usec , $sec ) = explode ( " " , microtime());
return ((float) $usec + (float) $sec );
}
$time_start = microtime_float();
is_file ( '1.html' );
$time_end = microtime_float();
$time = $time_end - $time_start ;
echo "Did is_file in $time seconds\n" ;
?>
|
对于open_basedir的测试结果
0.0006 / 5.0E-5
差距是相当大的,不过聪明的朋友应该注意到,笔者的网站配置了open_basedir,相对与这样的性能损失来说,我宁愿选择牺牲性能,换取安全,您的选择呢?不用猜,您可能和我的选择一致啦~毕竟服务器安全更重要些。
小提示:如何配置open_basedir
当一个脚本试图用例如 fopen() 或者 gzopen() 打开一个文件时,该文件的位置将被检查。当文件在指定的目录树之外时 PHP 将拒绝打开它。所有的符号连接都会被解析,所以不可能通过符号连接来避开此限制。
特殊值 . 指明脚本的工作目录将被作为基准目录。但这有些危险,因为脚本的工作目录可以轻易被 chdir() 而改变。
在 httpd.conf 文件中中,open_basedir 可以像其它任何配置选项一样用“php_admin_value open_basedir none”的方法关闭(例如某些虚拟主机中)。
在 Windows 中,用分号分隔目录。在任何其它系统中用冒号分隔目录。作为 Apache 模块时,父目录中的 open_basedir 路径自动被继承。
用 open_basedir 指定的限制实际上是前缀,不是目录名。也就是说“open_basedir = /dir/incl”也会允许访问“/dir/include”和“/dir/incls”,如果它们存在的话。如果要将访问限制在仅为指定的目录,用斜线结束路径名。例如:“open_basedir = /dir/incl/”。
分享到:
相关推荐
1.open_basedir介绍 open_basedir 将php所能打开的文件限制在指定的目录树中,包括文件本身。当程序要使用例如fopen()或file_get_contents()打开一个文件时,这个文件的位置将会被检查。当文件在...
open_basedir: 将用户可操作的文件限制在某目录下
open_basedir是php.ini中的一个配置选项 它可将用户访问文件的活动范围限制在指定的区域, 假设open_basedir=/home/wwwroot/home/web1/:/tmp/,那么通过web1访问服务器的用户就无法获取服务器上除了/home/wwwroot/...
从0学习bypass open_basedir姿势1
通过配置PHP的open_basedir即可以实现该控制,这个配置在IIS下也有用,但这里只讲Apache下的配置。 open_basedir可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径,也 可用符号”.”来代表当前...
主要介绍了PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍,这个漏洞很久之前(大概5年前)被提出来了,到现在的最新版本中依然存在,需要的朋友可以参考下
第一种 第二种 第三种
受保护的ENV值的Docker示例 该存储库是使用Apache的envvars以及外部文件和open_basedir进行... 这是一个PHP ini配置,可启用open_basedir设置并限制PHP进程访问/var/www/html之外的文件。 带有ENC_KEY值的test-setting
如果你开启open_basedir安全设置,会导致探针无法显示内存等信息 3,禁止了相应的php函数 比如file或其他函数 4,虚拟主机的面板自动设置 有些面板,比如directadmin或kloxo等也会无法查看探针信息。 以上就是php...
php 完美图形柱原程序 <?php /*** * @project Bar Graph Program * @license GPL ...配置中的open_basedir项,如果没此路径请添加,或在程序中设置包含 * * 智能化的柱状图程序,用于报表等 * ***/
比如你的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行: php_admin_value open_basedir /usr/local/apache /htdocs 这样,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,...
去除禁用函数proc_open、putenv、shell_exec、proc_get_status( 必须是命令行的PHP版本,你装了多个PHP版本,命令行版本的PHP和你的网站配置的PHP可能不是同一个,嫌麻烦可以下载full包) 部署: 下载Release代码 ...
比如您的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行: php_admin_value open_basedir /usr/local/apache /htdocs 这样,假如脚本要读取/usr/local/apache/htdocs以外的文档将不会被允许...
在末尾里加入: [HOST=www.jb51.net] open_basedir=/home/wwwroot/www.jb51.net/:/tmp/ [PATH=/home/wwwroot/www.jb51.net] open_basedir=/home/wwwroot/www.jb51.net/:/tmp/ 按上面的这个例子修改,换成你自己的...
一般我们在windows系统中,配置iis+php运行环境,需要注意的地方,大家可以参考下
Fixed bug #77967 (Bypassing open_basedir restrictions via file uris). Standard: Fixed bug #77931 (Warning for array_map mentions wrong type). Fixed bug #78003 (strip_tags output change since PHP ...