除了使用云上安全防护产品，针对php应用程序有什么基本的安全措施

你好，针对php的安全防护一般有如下几点供您参考：

php安全: 1.限制脚本访问权限 2.禁止危险函数 3.关闭错误消息显示 4.禁止访问远程文件 PHP 是比较常用的网站开发语言，其对安全也很重视，提供了不少安全函数和配置功能。下面介绍一些常用的 PHP 安全配置方法，都是通过 php.ini 来配置。

1.限制脚本访问权限 PHP 默认配置允许 php 脚本程序访问服务器上的任意文件，为避免 php 脚本访问不该访问的文件，从一定程度上限制了 php 木马的危害，一般设置为只能访问网站的目录：

open_basedir = /usr/local/apache2/htdocs（网站根目录）

2.禁止危险函数 利用 php 的特殊函数可以执行系统命令，查询任意目录，增加修改删除文件等。php 木马程序常见使用的函数为 exec、popen、system、passthru、shell_exec 等，如下设置可禁止使用这些危险函数：

disable_functions = exec,popen,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open

3.关闭错误消息显示 一般 PHP 错误信息可能会包含网站路径或 SQL 查询语句等敏感信息，这些信息为攻击者提供有价值的信息，因此应该禁止错误显示，配置方式如下：

display_errors = Off

4.禁止访问远程文件 允许访问 URL 远程资源使得 PHP 应用程序的漏洞利用变得更加容易，php 脚本若存在远程文件包含漏洞可以让攻击者直接获取网站权限及上传 web 木马，因此建议关闭远程文件访问功能，若需要访问可采用其他方式，比如 libcurl 库，配置如下:

allow_url_fopen = Off
allow_url_include = Off