Dicas de segurança php.ini
Desabilitando funcionalidades em php.ini
Existem algumas funções em PHP que não queremos que os usuários usem por causa do perigo que elas são. Mesmo que você saiba que seus usuários não estão utilizando certas funções, é sábio desativá-las completamente para que um invasor não possa usá-las. Esta precaução de segurança é especialmente eficaz para parar um atacante que de alguma forma conseguiu carregar um script PHP, para efetuar um upload para o sistema de arquivos, ou até mesmo incluir um arquivo PHP remoto. Ao desativar essas funcionalidades, você garante que pode limitar a eficácia desses tipos de ataques.
disable_functions = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,posix_kill, posix_mkfifo,posix_getpwuid,posix_setpgid,posix_setsid,posix_setuid,posix_setgid,posix_seteuid,posix_setegid,posix_uname
Desativar recurso globals
Este recurso foi DESATIVADO a partir do PHP 5.3.0 e REMOVIDO a partir do PHP 5.4.0. Então isso não vai causar problemas nos dias de hoje.
register_globals = Off
Desativar inclusão de arquivo remoto
Os atacantes tentarão identificar vulnerabilidades de inclusão de arquivos em aplicativos e depois usá-los para incluir scripts PHP maliciosos que eles escreveram. Mesmo se um atacante não tiver acesso de escrita aos diretórios de aplicativos da Web se a inclusão remota de arquivos estiver habilitada, o invasor poderá hospedar scripts PHP maliciosos em outros servidores e a aplicação web irá buscá-los e executá-los localmente!
Nós não bloqueamos url_fopen em nosso ambiente de hospedagem, por causar muitos problemas em alguns sites!
allow_url_fopen = On allow_url_include = Off
Att.