解決辦法:

不允許PHP使用網(wǎng)絡(luò)，把php.ini里的allow_url_fopen 值改為allow_url_fopen = Off

如果不行

;extension=php_sockets.dll （限制使用sockets.dll）
;ignore_user_abort = On
這兩項(xiàng)前加上分號(hào)。
但默認(rèn)這兩項(xiàng)就是這樣設(shè)置的。防止某些同志手動(dòng)打開了的。

**** 設(shè)置“register_globals”為“off”

這個(gè)選項(xiàng)會(huì)禁止PHP為用戶輸入創(chuàng)建全局變量，也就是說(shuō)，如果用戶提交表單變量“hello”，PHP不會(huì)創(chuàng)建“$ hello”，而只會(huì)創(chuàng)建“HTTP_GET/POST_VARS['hello']”。這是PHP中一個(gè)極其重要的選項(xiàng)，關(guān)閉這個(gè)選項(xiàng)，會(huì)給編程帶來(lái)很大的不便。

*** 設(shè)置“safe_mode”為“on”（注意：開啟這個(gè)后phpmyadmin將可能無(wú)法訪問(wèn)，原因?qū)ふ抑校?/p>

打開這個(gè)選項(xiàng)，會(huì)增加如下限制：

1．限制哪個(gè)命令可以被執(zhí)行

2．限制哪個(gè)函數(shù)可以被使用

3．基于腳本所有權(quán)和目標(biāo)文件所有權(quán)的文件訪問(wèn)限制

4．禁止文件上載功能

這對(duì)于ISP來(lái)說(shuō)是一個(gè)偉大的選項(xiàng)，同時(shí)它也能極大地改進(jìn)PHP的安全性。

** 設(shè)置“open_basedir”

這個(gè)選項(xiàng)可以禁止指定目錄之外的文件操作，有效地消除了本地文件或者是遠(yuǎn)程文件被include()的攻擊，但是仍需要注意文件上載和session文件的攻擊。

** 設(shè)置“display_errors”為“off”，設(shè)置“log_errors”為“on”

這個(gè)選項(xiàng)禁止把錯(cuò)誤信息顯示在網(wǎng)頁(yè)中，而是記錄到日志文件中，這可以有效的抵制攻擊者對(duì)目標(biāo)腳本中函數(shù)的探測(cè)。

* 設(shè)置“allow_url_fopen”為“off”（和上面第一步一樣重復(fù)）

這個(gè)選項(xiàng)可以禁止遠(yuǎn)程文件功能，極力推薦！

然后重啟IIS。

把C/WINDOWS下的PHP.INI設(shè)置為只讀防止被黑客篡改，以后修改這個(gè)PHP.INI的時(shí)候停止掉IIS，這樣安全！

另外還可以考慮

考慮到服務(wù)器PHP安全角度

*如果是獨(dú)立服務(wù)器的用戶可以修改php配置文件中的php.ini,將register_globals=On改為register_globals=Off,然后重啟IIS. （由于register_globals設(shè)置控制PHP變量訪問(wèn)范圍,如果開啟會(huì)引起不必要的安全問(wèn)題,所以這里對(duì)其進(jìn)行了強(qiáng)制關(guān)閉,如果站長(zhǎng)的空間不支持,可以采用以下幾種辦法進(jìn)行修改,供廣大站長(zhǎng)參考： ）