解決辦法:

不允許PHP使用網(wǎng)絡(luò)，把php.ini里的allow_url_fopen 值改為allow_url_fopen = Off

如果不行

;extension=php_sockets.dll （限制使用sockets.dll）
;ignore_user_abort = On
這兩項前加上分號。
但默認這兩項就是這樣設(shè)置的。防止某些同志手動打開了的。

**** 設(shè)置“register_globals”為“off”

這個選項會禁止PHP為用戶輸入創(chuàng)建全局變量，也就是說，如果用戶提交表單變量“hello”，PHP不會創(chuàng)建“$ hello”，而只會創(chuàng)建“HTTP_GET/POST_VARS['hello']”。這是PHP中一個極其重要的選項，關(guān)閉這個選項，會給編程帶來很大的不便。

*** 設(shè)置“safe_mode”為“on”（注意：開啟這個后phpmyadmin將可能無法訪問，原因?qū)ふ抑校?/p>

打開這個選項，會增加如下限制：

1．限制哪個命令可以被執(zhí)行

2．限制哪個函數(shù)可以被使用

3．基于腳本所有權(quán)和目標文件所有權(quán)的文件訪問限制

4．禁止文件上載功能

這對于ISP來說是一個偉大的選項，同時它也能極大地改進PHP的安全性。

** 設(shè)置“open_basedir”

這個選項可以禁止指定目錄之外的文件操作，有效地消除了本地文件或者是遠程文件被include()的攻擊，但是仍需要注意文件上載和session文件的攻擊。

** 設(shè)置“display_errors”為“off”，設(shè)置“log_errors”為“on”

這個選項禁止把錯誤信息顯示在網(wǎng)頁中，而是記錄到日志文件中，這可以有效的抵制攻擊者對目標腳本中函數(shù)的探測。

* 設(shè)置“allow_url_fopen”為“off”（和上面第一步一樣重復(fù)）

這個選項可以禁止遠程文件功能，極力推薦！

然后重啟IIS。

把C/WINDOWS下的PHP.INI設(shè)置為只讀防止被黑客篡改，以后修改這個PHP.INI的時候停止掉IIS，這樣安全！

另外還可以考慮

考慮到服務(wù)器PHP安全角度

*如果是獨立服務(wù)器的用戶可以修改php配置文件中的php.ini,將register_globals=On改為register_globals=Off,然后重啟IIS. （由于register_globals設(shè)置控制PHP變量訪問范圍,如果開啟會引起不必要的安全問題,所以這里對其進行了強制關(guān)閉,如果站長的空間不支持,可以采用以下幾種辦法進行修改,供廣大站長參考： ）