必须禁用 allow_url_include 防止远程代码执行,需确认 CLI 和 Web 环境配置、修改正确 php.ini 文件、设为 Off(非小写或 false)、重启对应服务并验证生效。
PHP 安装后必须禁用 allow_url_include,否则远程代码执行风险极高——它允许通过 include()、require() 直接加载 HTTP/FTP 等外部 URL,攻击者可轻易植入恶意脚本。
确认当前 allow_url_include 是否已启用
运行以下命令快速检查:
php -i | grep allow_url_include
若输出为 allow_url_include => On 或值为空(默认 On),说明未加固。注意:CLI 和 Web SAPI(如 Apache/FPM)可能使用不同 php.ini,需分别验证:
- Web 环境:新建
info.php,内容为,浏览器访问后搜索allow_url_include - CLI 环境:用
php --ini查看加载的配置路径,再 grep
在正确 php.ini 中禁用该指令
找到正在生效的 php.ini(不是 php.ini-development 或 php.ini-production 模板),编辑并确保存在以下行:
立即学习“PHP免费学习笔记(深入)”;
allow_url_include = Off
常见误区:
- 改错文件:Nginx + PHP-FPM 时,常误改 CLI 的
php.ini,实际应改 FPM 的配置(如/etc/php/8.2/fpm/php.ini) - 被覆盖:某些发行版(如 Ubuntu)会把扩展配置单独放在
conf.d/目录下,检查是否有其他 .ini 文件重设了该值 - 语法错误:写成
allow_url_include = off(小写)或allow_url_include = false—— PHP 只认Off或On(首字母大写)
重启服务并验证是否生效
修改后必须重启对应服务,否则配置不加载:
- Apache:执行
sudo systemctl restart apache2 - PHP-FPM:执行
sudo systemctl restart php8.2-fpm(版本号按实际调整) - Nginx + FPM 组合:只需重启
php-fpm,Nginx 不需要重启
再次运行 php -i | grep allow_url_include,确认输出为 allow_url_include => Off。还可写个测试脚本验证运行时行为:
额外加固建议(避免绕过)
仅关 allow_url_include 不够,还需同步处理依赖项:
-
allow_url_fopen应设为Off:虽然不影响include,但它是file_get_contents()、fopen("http://...")的开关,常被攻击链利用 - 检查自定义函数:某些老旧框架或 CMS(如早期 WordPress 插件)会手动拼接 URL 后传给
include,即使allow_url_include=Off,若代码本身有漏洞仍可能触发 SSRF 或本地文件包含 - 禁用危险函数(可选):在
disable_functions中加入include, require, include_once, require_once—— 但需谨慎,可能破坏正常逻辑
真正起作用的是配置+重启+验证三步闭环,漏掉任意一环都等于没做。很多线上系统看似改了 php.ini,却因没重启 FPM 或查错了配置路径,导致防护形同虚设。
