上线前必须执行七项安全检查：一、关闭display_errors、expose_php、register_globals；二、过滤所有用户输入；三、强制使用PDO预处理防SQL注入；四、HTML输出按上下文编码防XSS；五、文件上传实施扩展名、MIME、文件头、路径四重校验；六、敏感配置移出Web根目录并设权限；七、禁用eval等高危函数并启用最小权限。

如果您即将上线一个PHP项目，但尚未系统性排查潜在风险，则可能是由于关键安全配置缺失、用户输入未过滤或代码规范不统一所致。以下是上线前必须执行的代码审计与部署检查步骤：

一、关闭危险PHP配置与错误暴露

生产环境中开启display_errors、expose_php或register_globals等配置会直接泄露服务器路径、PHP版本及堆栈信息，为攻击者提供侦察入口。必须确保这些选项处于禁用状态。

1、编辑php.ini文件，将display_errors设为Off：display_errors = Off

2、确认expose_php已关闭：expose_php = Off

3、禁用register_globals（若存在）：register_globals = Off

4、验证生效：创建临时phpinfo.php文件并访问，检查上述三项值是否均为Off

二、强制过滤所有用户输入源

任何来自$_GET、$_POST、$_COOKIE、$_REQUEST、$_SERVER[‘HTTP_*’]的数据都不可信，必须经类型校验与内容净化后方可使用，否则将引发SQL注入、XSS或命令执行漏洞。

1、对邮箱字段使用filter_var校验：filter_var($_POST['email'], FILTER_VALIDATE_EMAIL)

2、对通用字符串使用filter_input过滤：filter_input(INPUT_POST, 'username', FILTER_SANITIZE_FULL_SPECIAL_CHARS)

3、对数字型参数强制转换并范围校验：$id = (int)$_GET['id']; if ($id

4、禁止直接拼接用户数据到SQL、shell_exec或include语句中，所有动态值必须通过白名单或预处理机制传递

三、数据库操作必须使用参数化查询

直接拼接用户输入构造SQL语句是SQL注入的根本成因。PDO预处理或MySQLi绑定参数可彻底隔离数据与指令结构，确保恶意输入仅作为数据值处理。

1、使用PDO prepare+execute方式：$stmt = $pdo->prepare("SELECT * FROM users WHERE status = ? AND role IN (?)");

2、对IN子句等无法直接绑定的场景，先校验并构建白名单数组：$allowedRoles = ['admin', 'editor', 'user']; $role = in_array($_GET['role'], $allowedRoles) ? $_GET['role'] : 'user';

3、彻底移除mysql_query()、mysqli_query()（未绑定变量）等不安全调用，发现即替换，不允许例外

四、HTML输出必须上下文编码

未经转义的用户数据直接echo到页面，会导致XSS漏洞。编码方式需严格匹配输出上下文：HTML主体、HTML属性、JavaScript、URL等均需不同处理策略。

1、HTML内容输出前调用htmlspecialchars：echo htmlspecialchars($userComment, ENT_QUOTES | ENT_SUBSTITUTE, 'UTF-8');

2、HTML属性值中嵌入变量时，同样使用htmlspecialchars并指定ENT_HTML5：$title = htmlspecialchars($_GET['title'], ENT_QUOTES | ENT_HTML5); echo "";

3、JavaScript字符串内插时，先JSON编码再输出：echo '<script>var data = ' . json_encode($userData, JSON_UNESCAPED_UNICODE | JSON_HEX_TAG) . ';</script>';

4、禁止使用echo "<script>alert('{$_GET['x']}')</script>"类写法，任何用户数据进入JS上下文必须经json_encode且不拼接HTML标签

五、文件上传功能必须实施四重校验

上传目录若允许执行PHP脚本，或未校验文件内容，攻击者可上传webshell实现远程代码执行（RCE）。必须从扩展名、MIME、文件头、存储路径四个维度设防。

1、在Nginx配置中禁止upload、runtime、storage等目录执行PHP：location ~* /(upload|runtime|storage)/.*\.php$ { return 403; }

2、服务端校验扩展名白名单：$allowedExt = ['jpg', 'png', 'pdf']; $ext = strtolower(pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION)); if (!in_array($ext, $allowedExt)) { die('Extension not allowed'); }

3、读取文件前16字节验证Magic Number（如PNG为89 50 4E 47），拒绝非预期二进制头

4、保存文件时强制重命名，丢弃原始文件名：$newName = uniqid('up_') . '.' . $ext; move_uploaded_file($_FILES['file']['tmp_name'], UPLOAD_PATH . $newName);

六、敏感配置与密钥必须脱离Web可访问路径

数据库密码、API密钥、APP_KEY等若硬编码于config.php或被放置在public/目录下，极易被直接下载。必须确保其物理路径不可通过HTTP请求抵达。

1、将.env或config.php移至Web根目录之外，例如/var/www/myapp/config/.env

2、在入口文件index.php中通过绝对路径加载：require_once '/var/www/myapp/config/.env';

3、APP_KEY必须为32位以上强随机字符串，生成命令为：openssl rand -base64 32 | tr -d '\n'

4、检查.env文件权限是否为600，且Web服务器用户（如www-data）无读取权，禁止.gitignore遗漏.env导致提交至代码仓库

七、禁用高危函数并启用最小权限原则

eval、assert、system、exec、shell_exec、passthru、proc_open、popen等函数可直接执行任意代码，一旦被利用将导致服务器完全失陷。应从PHP层面全局禁用。

1、在php.ini中设置disable_functions：disable_functions = eval,assert,exec,system,shell_exec,passthru,proc_open,popen

2、验证禁用生效：执行，返回bool(false)

3、运行PHP-FPM的用户应为专用低权限账户（如php-fpm），不得赋予sudo或root权限

4、Web目录权限设为755，文件为644，upload目录除外，且其属组应为www-data，禁止chmod 777 或 chown -R root:root

Tags: PHP项目代码审计 PHP上线前检查

分享到：