当 register_globals 打开以后，各种变量都被注入代码，例如来自 HTML 表单的请求变量。再加上 PHP 在使用变量之前是无需进行初始化的，这就使得更容易写出不安全的代码。这是个很艰难的抉择，但 PHP 社区还是决定默认关闭此选项。当打开时，人们使用变量时确实不知道变量是哪里来的，只能想当然。但是 register_globals 的关闭改变了这种代码内部变量和客户端发送的变量混杂在一起的糟糕情况。

当 magic_quotes_gpc=off ，写入数据库的字符串未经过任何过滤处理。从数据库读出的字符串也未作任何处理。对于未经处理的单引号在写入数据库时会使sql语句发生错误。当magic_quotes_gpc=on 写入数据库的字符串未经过任何处理。从数据库读出的字符串未作任何处理。magic_quotes_gpc=on 将单引号转换为’的转义字符使sql语句成功执行，但’并未作为数据入数据库，数据库保存的是snow””sun而并不是我们想象的snow””sun。
修改php.ini文件，设置register_globals=off

php的 display_errors参数就是帮助开发者定位和确定这些错误的。容易使提供的这些信息被恶意攻击者采集信息。
操作
修改php.ini文件，设置display_errors =Off

php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()等函数，同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的访问，比如/etc/passwd，但是默认的 php.ini是没有打开安全模式的，我们把它打开。safe_mode = on。

操作
修改php.ini文件，设置safe_mode = on 开启PHP的安全模式

open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问不应该访问的文件，一定程度上限制了webshell的跨站攻击。
操作
修改php.ini文件，设置open_basedir=网站路径。

变量disable_functions能过滤一些危害性很大的system，exec等函数。

操作
推荐过滤的函数如下。

disable_functions = phpinfo，passthru，exec，system，chroot，scandir，chgrp，chown，shell_exec，proc_open，proc_get_status，ini_alter，ini_alter，ini_restore，dl，pfsockopen，openlog，syslog，readlink，symlink，popepassthru，stream_socket_server。

但需要设置另两个参数safe_mode =on；safe_mode_gid =on

禁用Com组件，Windows平台下的PHP脚本平台存在一个安全漏洞，使得PHP设置即使在安全模式下(safe_mode)，仍旧允许攻击者使用COM()函数来创建系统组件来执行任意命令。漏洞出现的原因是由于在安全模式下的PHP平台虽然system();pathru()函数被禁止，但是com.allow_dcom的设置依旧是为true。以至于攻击者可以使用COM()函数创建系统组件对象来运行系统命令。
操作
1、卸载wscript.shell对象
在cmd下运行：regsvr32 WSHom.Ocx /u
2、卸载FSO对象
在cmd下运行：regsvr32.exe scrrun.dll /u
3、卸载stream对象
在cmd下运行：
regsvr32 /s /u “C:Program FilesCommon FilesSystemadomsado15.dll”
恢复的话，去掉/u就行了
如Wscript.Shell就用在regsvr32 WSHom.Ocx就行了

　　修改配置httpd.conf文件，添加如下语句：
ServerSignature Off
ServerTokens Prod

Apache启动权限过大，容易给恶意入侵者提供便利。

创建一个新的帐户来替代这个帐号启动apache并设置相应的权限。
1.在计算机管理里的本地用户和组里面创建一个帐户，例如：apache，设置密码，加入guests组（如果出现问题，可以赋予user权限）；
2.打开开始->管理工具->本地安全策略，在用户权限分配中选择“作为服务登陆”，添加apache用户；
3.计算机管理里面选择服务，找到apache2.2，先停止服务，右击->属性，选择登陆，把单选框从本地系统帐户切换到此帐户，然后查找 选择apache，输入密码apacheuser，然后点确定（这个时候apache还不能正常启动，一般情况肯定会报错：Apache2.2 服务因 1 (0×1) 服务性错误而停止。）；
4.赋予apache安装目录（比如：D:/apache2.2）以及web目录（比如D:/wwwroot）apache帐号的可读写权限，去除 各磁盘根目录除administror与system以外的所有权限，赋予apache安装目录所在的磁盘根目录apache帐户的可读取列目录权限（我 开始觉得没必要，但后来发现：这是导致上面出错的关键。）

当以 Apache 的模块方式运行 PHP 时，也可以通过 Apache 的配置文件（例如 httpd.conf）和 .htaccess 文件中的指令来修改 PHP 的配置选项（需要“AllowOverride Options”或“AllowOverride All”权限）。

在httpd.conf文件里有关在该目录的设定里加上 (PHP4以上版本)
“php_admin_flag engine off”

例:

php_admin_flag engine off

禁止目录不必要的目录浏览权限。
查找可目录浏览的目录所对应的Directory标签
确认该标记下的Option Indexes
将Option标记修改为：Option –Indexes（若Option标记后除Indexes外无其他命令，可改为：Option None）
保存重启httpd服务

对于无CGI的目录可在其对应的Directory标签中进行如下操作：
在需要禁用CGI目录对应的Directory标签下找到Option ExecCGI，为取消其CGI执行权限，改为：Option –ExecCGI
保存重启httpd服务。

使用本地口令保护目录
安全操作
方法一：
对于一些管理员登录入口，可加入口令管理，为其登录多一重保护，增加方法如下：
创建用户及口令：
htpasswd –c /var/httpd/passwd admin
输入上面的命令后，根据提示为admin输入口令
随后设置该文件的权限以确保apache所使用的用户能访问该文件：chmod 644 /var/httpd/passwd
找到需要使用口令保护的目录，在其对应的Directory标签下，修改如下行：
AllowOverride行改为：AllowOverride AuthConfig
创建如下行：
AuthType Basic
AuthName “Administration”
AuthUserFile /var/httpd/passwd
Require user admin
保存httpd.conf并重启httpd服务
若需要修改admin口令，可在服务器上执行命令：htpasswd /var/httpd/passwd admin，按提示输入两次口令即可更新admin口令

方法二：
对于一些管理员登录入口，可加入口令管理，为其登录多一重保护，增加方法如下：
创建用户及口令：
htpasswd –c /var/httpd/passwd admin
输入上面的命令后，根据提示为admin输入口令
随后设置该文件的权限以确保apache所使用的用户能访问该文件：chmod 644 /var/httpd/passwd
找到需要使用口令保护的目录，在其对应的Directory标签下，修改如下行：
AllowOverride行改为：AllowOverride AuthConfig
创建如下行：
AuthType Basic
AuthName “Administration”
AuthUserFile /var/httpd/passwd
Require user admin
保存httpd.conf并重启httpd服务
若需要修改admin口令，可在服务器上执行命令：htpasswd /var/httpd/passwd admin，按提示输入两次口令即可更新admin口令