網站的安全與性能似乎是矛與盾的關系。對於一個php網站來說,尤其難以取捨。舉個最簡單的例子:php配置文件的open_basedir將 PHP 所能打開的文件限制在指定的目錄樹,包括文件本身。本來這對於網站的安全是十分有利的;但據筆者從網上獲取的資料來看,open_basedir會對php操作io的性能產生很大的影響。研究資料表明,配置了php_basedir的腳本io執行速度會比沒有配置的慢10倍甚至更多!
起初,我也不太相信這個結果,不過測試數據卻說服我承認這個觀點。
創建一個簡單的腳本:
<?php
function microtime_float()
{
list($usec, $sec) = explode(" ", microtime());
return ((float)$usec + (float)$sec);
}
$time_start = microtime_float();
is_file('1.html'); //判斷當前目錄是否有1.html這個文件
$time_end = microtime_float();
$time = $time_end - $time_start;
echo "Did is_file in $time seconds\n";
?>
對於open_basedir的測試結果
0.0006 / 5.0E-5
差距是相當大的,不過聰明的朋友應該注意到,筆者的網站配置了open_basedir,相對與這樣的性能損失來說,我寧願選擇犧牲性能,換取安全,您的選擇呢?不用猜,您可能和我的選擇一致啦~畢竟服務器安全更重要些。
小提示:如何配置open_basedir
當一個腳本試圖用例如 fopen() 或者 gzopen() 打開一個文件時,該文件的位置將被檢查。當文件在指定的目錄樹之外時 PHP 將拒絕打開它。所有的符號連接都會被解析,所以不可能通過符號連接來避開此限制。
特殊值 . 指明腳本的工作目錄將被作為基准目錄。但這有些危險,因為腳本的工作目錄可以輕易被 chdir() 而改變。
在 httpd.conf 文件中中,open_basedir 可以像其它任何配置選項一樣用“php_admin_value open_basedir none”的方法關閉(例如某些虛擬主機中)。
在 Windows 中,用分號分隔目錄。在任何其它系統中用冒號分隔目錄。作為 Apache 模塊時,父目錄中的 open_basedir 路徑自動被繼承。
用 open_basedir 指定的限制實際上是前綴,不是目錄名。也就是說“open_basedir = /dir/incl”也會允許訪問“/dir/include”和“/dir/incls”,如果它們存在的話。如果要將訪問限制在僅為指定的目錄,用斜線結束路徑名。例如:“open_basedir = /dir/incl/”。