12-1 セキュリティーを考慮したphp.iniの構成 [PHPセキュリティー]

このディレクティブを on にすると、リモートファイルをローカルファイルのようにインクルードできるようになります。必要でない限り off にするべきでしょう。

このディレクティブではセッション名を指定できます。これは、例えばクッキーに格納される場合に使用される名前です。通常は PHPSESSID となっています。予測し難い名前に変更しましょう。現在のセッション名は、session_name() で確認できます。

このディレクティブを使用すると、セキュリティーの観点から、危険な関数を使用できないようにします。

このディレクティブでは、PHPのエラーの有無を指定します。開発者がPHPのエラー内容を随時確認することは非常に大切なことですが、エラー内容が一般へ公開されないようにしなければなりません。
以下のようにPHPのディレクティブを設定して、PHPエラーを開発者だけが確認できるようにしましょう。

E_ALL | E_STRICT を指定すると、初期化されていない変数のエラーも報告します。phperrorlog.txtファイルのパーミッションは書き込み可能にする。

iniファイルが設定できない場合の実装の例

このディレクティブは、Apacheモジュール版のPHPを使用した場合にのみ 有用です。PHPの動的ロード拡張機能を dl()で 仮想サーバー毎またはディレクトリ毎にオンまたはオフに変更することが できます。
このディレクティブは非推奨です。

このディレクティブを on にすると、'(シングルクオート)、” (ダブルクオート)、\(バックスラッシュ) 、NULL には全て自動的に バックスラッシュでエスケープ処理が行われます。
エスケープの対象は、GPC(Get/Post/Cookie) と指定します。
※この機能は PHP 5.3.0 で 非推奨となり、 PHP 5.4.0 で削除されました。

このディレクティブでは、EGPCS(Environment, GET, POST, Cookie, Server)変数を グローバル変数として登録するかどうかを指定します。GETやPOSTなどがグローバル変数として登録されてしまうので、開発者を混乱させることがあります。無効にすべきです。
この機能は PHP 5.3.0 で 非推奨となり、 PHP 5.4.0 で削除されました。

このディレクティブはセーフモードの有効の有無を指定します。
この機能は PHP 5.3.0 で 非推奨となり、 PHP 5.4.0 で削除されました。

PHPが開くことのできるファイルを特定のディレクトリに限定します。
このディレクティブを指定することで、include や require 等のファイルシステム関数を狙った攻撃への防護策になります。設定する値はプレフィクスで、特定のディレクトリを指示する場合は、最後にスラッシュを付けて下さい。
Open_basedir = /path/to/

define_syslog_variables
register_globals
register_long_arrays
safe_mode
magic_quotes_gpc
magic_quotes_runtime
magic_quotes_sybase