在CentOS系统上配置PHP安全设置，可以通过以下步骤进行：

更新系统和PHP

• 确保系统和PHP都是最新的。

sudo yum update -ysudo yum install epel-release -ysudo yum install php php-mysqlnd php-gd php-xml php-mbstring php-pear php-bcmath -y

配置PHP安全设置

• 禁用危险函数：在 disable_functions 指令中添加一些危险的函数，以防止它们被滥用。

disable_functions = eval,assert,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

• 设置错误报告：为了防止敏感信息泄露，建议将错误报告级别设置为 E_ALL & ~E_NOTICE & ~E_STRICT & ~E_DEPRECATED & ~E_USER_NOTICE & ~E_USER_DEPRECATED。

error_reporting = E_ALL & ~E_NOTICE & ~E_STRICT & ~E_DEPRECATED & ~E_USER_NOTICE & ~E_USER_DEPRECATEDdisplay_errors = Off log_errors = On error_log = /var/log/php_errors.log

• 设置文件上传限制：限制文件上传的大小和类型，以防止恶意文件上传。

upload_max_filesize = 2 Mpost_max_size = 8 M file_uploads = On

• 设置会话安全：确保会话ID是随机生成的，并且会话数据存储在安全的位置。

session.cookie_secure = Onsession.cookie_httponly = Onsession.cookie_samesite = Strict session.gc_maxlifetime = 1440

• 设置数据库连接安全：如果你使用的是MySQL数据库，确保连接是安全的。

mysqli.allow_local_infile = Offmysqli.allow_persistent_connections = Offmysqli.cache_size = 2000mysqli.max_links = -1mysqli.reconnect = Off

重启Web服务器

根据你使用的Web服务器（如Apache或Nginx），重启相应的服务以应用更改。

# Apache
sudo systemctl restart httpd

# Nginx
sudo systemctl restart nginx

使用安全模块

• ModSecurity：ModSecurity是一个开源的Web应用防火墙（WAF），可以保护你的PHP应用程序免受各种攻击。

sudo yum install mod_security -ysudo systemctl enable mod_securitysudo systemctl start mod_security

• PHP-FPM：如果你使用的是PHP-FPM，确保它也进行了适当的安全配置。

sudo vi /etc/php-fpm.d/www.conf

在 www.conf 文件中，确保以下设置：

security.limit_extensions = .php .php3 .php4 .php5 .php6 .php7 .phtml .pl .py .jsp .asp .htm .shtml .sh .cgi

然后重启PHP-FPM服务：

sudo systemctl restart php-fpm

通过以上步骤，你可以显著提高CentOS系统上PHP的安全性。