知识回顾：

open_basedir是php.ini中的一个配置选项

它可将用户访问文件的活动范围限制在指定的区域，

假设open_basedir=/home/wwwroot/home/web1/:/tmp/，那么通过web1访问服务器的

用户就无法获取服务器上除了/home/wwwroot/home/web1/和/tmp/这两个目录以外的文件。

注意用open_basedir指定的限制实际上是前缀,而不是目录名。

举例来说: 若"open_basedir = /dir/user", 那么目录 "/dir/user" 和 "/dir/user1"都是

可以访问的。所以如果要将访问限制在仅为指定的目录，请用斜线结束路径名。

1，php_admin_value 和 php_value 区别

相同的地方是：这两个命令都是用来在Apache服务器中针对不同的虚拟主机、目录设置不同的php选项的。

不同的地方是：php_admin_value(php_admin_flag)命令只能用在apache的httpd.conf文件中，而 php_value(php_flag)则是用在.htaccess文件中的。

2，CentOS 8 + Apache 2.4 的虚拟主机中，设置 php_admin_value 和 php_value 必须大写

在虚拟主机配置中添加下面一行：

SetEnv php_value open_basedir=/var/www/_error/:/tmp/

当 php_value 是小写的时候，Core 下的 open_basedir 是空值，只在 PHP Variables 有个记录，并且实际上 PHP 是可以访问其他目录的。如下代码，可以显示所有目录内容。

echo "<pre>";
print_r(scandir("/var/www"));
print_r(scandir("/var/www/_error"));
print_r(scandir("/var"));
echo "</pre>";

只有设置 PHP_VALUE 大写的时候，Core 下的 open_basedir 才有值，open_basedir 才起作用。

SetEnv PHP_VALUE open_basedir=/var/www/_error/:/tmp/ 

3, 更多 open_basedir 安全相关问题

3.1 由于 open_basedir 的设置对 system 等命令执行函数是无效的，所以 disable_function 中一定要禁用 system 函数。

3.2 在Linux环境下，通过symlink完成一些逻辑上的绕过导致可以跨目录操作文件。sysmlink 也需要禁用。

4, Windows 下配置和性能问题参考如下地址

https://javascript.net.cn/article?id=451