php优化分为三部分:

1. 安装php引擎优化

2. php.ini

3. php-cgi

php引擎加速优化:

1. eaccelerator

2. zend

3. xcache

2. 使用tmpfs作为缓存加速缓存的文件目录

   2.1 mount -t tmpfs tmpfs /dev/shm -o size=256M

   2.2 mount -t tmpfs /dev/shm /tmp/eaccelerator

   上传图片缩略图临时处理的目录/tmp

    其他加速器的临时目录

3. php.ini 参数调优

0. apache、nginx  php.ini都是合适的, 而php-fpm.conf适合nginx+fcgi的配置

1. 打开php的安全模式

  php的安全模式是个非常重要的php内嵌的安全机制,能够控制一些php中的函数执行,比如sysstem(), 同时把很多文件操作的函数进行了权限控制

  该参数配置如下:

   safe_mode = off

   是否开启安全模式

   打开时, php将检查当前脚本的拥有者是否和被操作的文件的拥有者相同

   如上, 默认的php.ini是没有打开安全模式的,我们把它打开如下:

   safe_mode=on

2.用户组的安全

  当dafe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同组的童虎也能够对文件惊醒访问。 建议设置为: safe_mode_gid=off

  如果不进行设置,可能我们无法对我们的服务器网站的目录下的文件进行操作了,比如我们需要对文件操作的时候, 默认关闭

  

3. 关闭危险函数

  如果打开了安全模式, 那么函数禁止是可以不需要的,但是我们为了安全还是考虑进去。 比如,我们觉得不希望执行包括system()等在那的能够执行命令的php函数,或者能查看php信息的phpinfo()等函数,那么我们就可以禁止他们,方法如下:

  disable_functions = system,passthru,shell_exec,com,exec,shell

4. 关闭php版本信息在http头中的泄露

  我们为了防止***获取服务器的php版本信息,可以关闭该信息在http头中

  该参数配置如下:

  expose_php=off

  

5. 关闭注册全局变量

在php中提交的标量 把偶口post或者get提交的标量,都将自动注册为全局变量,能够直接访问,这对服务器是非常不安全的,所以我们不能让他注册为全局变量,就把其关闭

    该参数配置如下:

    register_globale off

    打开改指令可能会导致严重的安全问题,除非你的脚本经过非常仔细的检查

该指令收variables_order指令的影响

    php6中已经删除该指令

    

6. 打开magic_quotes_gpc来防止sql注入

   sql注入是非常危险的问题,轻则网站后台被***,重者整个服务器沦陷

   所以一定要小心php.ini中的设置

    magic_quotes_gpc = off

    默认这个是关闭的, 如果它打开后将自动把用户提交对sql的查询进行装换,

    比如把 ' 转为 \ 等, 这对防止sql注入有重大作用,推荐设置为

    magic_quotes_gpc = on

7 错误信息控制

  一般php在没连接到数据库或者其他情况下会有提示错误,一般错误信息中会包含php因当前的路径信息或者查询的sql语句等信息,这类信息提示给***后 是不安全的 所以一般服务器建议禁止错误提示

  该参数默认配置如下:

  display_errors = off

  是否将错误信息作为输入的一本分显示给终端用户, 应用调试时,可以打开 方便查看错误

  在最终发布的web站点上,强烈建议关掉这个特性,并仅用F代替

  在最终发布的web站点打开个这个特性可能会暴漏一下安全信息

  例如你的韦博服务器上的路径、数据库规划的信息

  设置为:

  display_errors=off 

  如果你确实是要显示错误信息,一定要显示警告wuo

   error_reporting  =  E_ALL & ~E_NOTICE

   当然最后关闭错误提示

8. 打开错误日志

   log_errors = on

9. 设置每个脚本运行的最长时间

   max_execution_time = 30 

   每个脚本吮吸执行的时间(秒),0表示没有限制

   这个参数有助于阻止劣质脚本无休止的占用服务器的资源

   该指令仅影响本身的运行时间,

10.每个脚本使用的最大内存

   memory_limit = 128M

   一个脚本所能够申请到的最大内存字节数(可以使用K和M作为单位)

   有诸如防止劣质脚本消耗服务器的内存

   要能够使用该指令必须在编译时使用 --enable-memory-limit 配置选项

   如果取消内存限制 则必须将其设置为 -1

   

11. 每个脚本等待输入数据最长时间

   max_input_time = 1 

   每个脚本输入数据(post| get|upload)的最大允许时间

   -1 表示不限制

   设置为:

   max_input_time = 60

   

12. 上传文件大小许可

    当上传文件较大时, 需要调整如下参数:

    upload_max_filesize = 2M

    

13. 禁止打开远程地址,记得最近处的phpinclude的那个漏洞么, 就是在一个php程序中include变量,那么***者就可以利用这个控制服务器在bending执行远程的一个php程序,历史phpshell 所以我们关闭这个

  allow_url_fopen = off

  

  

php-fpm 管理fastcgi(http server(nginx) 与动态语言链接的一个接口)

fastcgi 是cs模式(客户端nginx/服务端php)

1. fastcgi是Http server和动态脚本语言通信的接口或工具  nginx -- fastcgi(php-fpm.conf) --wrapper -- php解析器(php.ini)

2. fastcgi有点是把动态语言和httpserver分离开来

3. nginx和lighttpt以及多数的动态语言都支持fastcgi

4. fastcgi采用c/s接口,客户端 服务端

5. php动态语言服务端可以启动多个fastcgi的守护进程(php-fpm)

6. httpserver(nginx fastcgi_pass)将请求抛给动态语言的(php-fpm)

编译  --enable-fpm  (版本不同 ,参数可能不一样)

vimdiff  分为两屏进行对比

nginx_fastcgi 原理

nginx不支持对外部程序的直接调用或解析,所有的外部程序(包括php)必须通过fastcgi接口来调用。fastcgijiekou zai liunux下是socket,(这个socket可以是文件socket,也可以是ip socket)。 为了调用cgi程序,还需要一个fastcgi的wrapper(wrapper可以理解为用于启动另一个程序的程序),这个wrapper绑定在摸个固定的socket上,如端口或者文件socket。当nginx将cgi请求发给这个socket的时候,通过fastcgi接口,wrapper接纳到请求,然后派生出一个新的线程,这个线程调用解释器或者外部程序处理脚本并读取返回数据,接着wrapper在将返回的数据通过fastcgi接口,沿着固定的socket传递给nginx,最后最后 nginx将返回的数据发送给客户端,这就是这个nginx+fastcgi的运作过程

Internet --- Nginx  ---- socket ---- fastcgi(wrapper) ----- application1

                                ---- fastcgi(wrapper) ----- application2

                                

                                

                            

php-cgi

PHP-CGI是PHP自带的FastCGI管理器

PHP-FPM其实是PHP源代码的一个补丁,旨在将FastCGI进程管理整合进PHP包中。必须将它patch到你的PHP源代码中,在编译安装PHP后才可以使用

php-fpm.conf重要参数详解

 pid = run/php-fpm.pid

#pid设置,默认在安装目录中的var/run/php-fpm.pid,建议开启

 

error_log = log/php-fpm.log

#错误日志,默认在安装目录中的var/log/php-fpm.log

 

log_level = notice

#错误级别. 可用级别为: alert(必须立即处理), error(错误情况), warning(警告情况), notice(一般重要信息), debug(调试信息). 默认: notice.

 

emergency_restart_threshold = 60

emergency_restart_interval = 60s

#表示在emergency_restart_interval所设值内出现SIGSEGV或者SIGBUS错误的php-cgi进程数如果超过 emergency_restart_threshold个,php-fpm就会优雅重启。这两个选项一般保持默认值。

 

process_control_timeout = 0

#设置子进程接受主进程复用信号的超时时间. 可用单位: s(秒), m(分), h(小时), 或者 d(天) 默认单位: s(秒). 默认值: 0.

 

daemonize = yes

#后台执行fpm,默认值为yes,如果为了调试可以改为no。在FPM中,可以使用不同的设置来运行多个进程池。 这些设置可以针对每个进程池单独设置。

 

listen = 127.0.0.1:9000

#fpm监听端口,即nginx中php处理的地址,一般默认值即可。可用格式为: 'ip:port', 'port', '/path/to/unix/socket'. 每个进程池都需要设置.

 

listen.backlog = -1

#backlog数,-1表示无限制,由操作系统决定,此行注释掉就行。backlog含义参考:http://www.3gyou.cc/?p=41

 

listen.allowed_clients = 127.0.0.1

#允许访问FastCGI进程的IP,设置any为不限制IP,如果要设置其他主机的nginx也能访问这台FPM进程,listen处要设置成本地可被访问的IP。默认值是any。每个地址是用逗号分隔. 如果没有设置或者为空,则允许任何服务器请求连接

 

listen.owner = www

listen.group = www

listen.mode = 0666

#unix socket设置选项,如果使用tcp方式访问,这里注释即可。

 

user = www

group = www

#启动进程的帐户和组

 

pm = dynamic #对于专用服务器,pm可以设置为static。

#如何控制子进程,选项有static和dynamic。如果选择static,则由pm.max_children指定固定的子进程数。如果选择dynamic,则由下开参数决定:

pm.max_children #,子进程最大数

pm.start_servers #,启动时的进程数

pm.min_spare_servers #,保证空闲进程数最小值,如果空闲进程小于此值,则创建新的子进程

pm.max_spare_servers #,保证空闲进程数最大值,如果空闲进程大于此值,此进行清理

 

pm.max_requests = 1000

#设置每个子进程重生之前服务的请求数. 对于可能存在内存泄漏的第三方模块来说是非常有用的. 如果设置为 '0' 则一直接受请求. 等同于 PHP_FCGI_MAX_REQUESTS 环境变量. 默认值: 0.

 

pm.status_path = /status

#FPM状态页面的网址. 如果没有设置, 则无法访问状态页面. 默认值: none. munin监控会使用到

 

ping.path = /ping

#FPM监控页面的ping网址. 如果没有设置, 则无法访问ping页面. 该页面用于外部检测FPM是否存活并且可以响应请求. 请注意必须以斜线开头 (/)。

 

ping.response = pong

#用于定义ping请求的返回相应. 返回为 HTTP 200 的 text/plain 格式文本. 默认值: pong.

 

request_terminate_timeout = 0

#设置单个请求的超时中止时间. 该选项可能会对php.ini设置中的'max_execution_time'因为某些特殊原因没有中止运行的脚本有用. 设置为 '0' 表示 'Off'.当经常出现502错误时可以尝试更改此选项。

 

request_slowlog_timeout = 10s

#当一个请求该设置的超时时间后,就会将对应的PHP调用堆栈信息完整写入到慢日志中. 设置为 '0' 表示 'Off'

 

slowlog = log/$pool.log.slow

#慢请求的记录日志,配合request_slowlog_timeout使用

 

rlimit_files = 1024

#设置文件打开描述符的rlimit限制. 默认值: 系统定义值默认可打开句柄是1024,可使用 ulimit -n查看,ulimit -n 2048修改。

 

rlimit_core = 0

#设置核心rlimit最大限制值. 可用值: 'unlimited' 、0或者正整数. 默认值: 系统定义值.

 

chroot =

#启动时的Chroot目录. 所定义的目录需要是绝对路径. 如果没有设置, 则chroot不被使用.

 

chdir =

#设置启动目录,启动时会自动Chdir到该目录. 所定义的目录需要是绝对路径. 默认值: 当前目录,或者/目录(chroot时)

 

catch_workers_output = yes

#重定向运行过程中的stdout和stderr到主要的错误日志文件中. 如果没有设置, stdout 和 stderr 将会根据FastCGI的规则被重定向到 /dev/null . 默认值: 空. 

三,常见错误及解决办法整理

1,request_terminate_timeout引起的资源问题

request_terminate_timeout的值如果设置为0或者过长的时间,可能会引起file_get_contents的资源问题。

如果file_get_contents请求的远程资源如果反应过慢,file_get_contents就会一直卡在那里不会超时。我们知道php.ini 里面max_execution_time 可以设置 PHP 脚本的最大执行时间,但是,在 php-cgi(php-fpm) 中,该参数不会起效。真正能够控制 PHP 脚本最大执行时间的是 php-fpm.conf 配置文件中的request_terminate_timeout参数。

request_terminate_timeout默认值为 0 秒,也就是说,PHP 脚本会一直执行下去。这样,当所有的 php-cgi 进程都卡在 file_get_contents() 函数时,这台 Nginx+PHP 的 WebServer 已经无法再处理新的 PHP 请求了,Nginx 将给用户返回“502 Bad Gateway”。修改该参数,设置一个 PHP 脚本最大执行时间是必要的,但是,治标不治本。例如改成 30s,如果发生 file_get_contents() 获取网页内容较慢的情况,这就意味着 150 个 php-cgi 进程,每秒钟只能处理 5 个请求,WebServer 同样很难避免”502 Bad Gateway”。解决办法是request_terminate_timeout设置为10s或者一个合理的值,或者给file_get_contents加一个超时参数。

1

2

3

4

5

6

7 $ctx = stream_context_create(array(

    'http' => array(

        'timeout' => 10    //设置一个超时时间,单位为秒

    )

));

 

file_get_contents($str, 0, $ctx); 

2,max_requests参数配置不当,可能会引起间歇性502错误:

1 pm.max_requests = 1000 

设置每个子进程重生之前服务的请求数. 对于可能存在内存泄漏的第三方模块来说是非常有用的. 如果设置为 ’0′ 则一直接受请求. 等同于 PHP_FCGI_MAX_REQUESTS 环境变量. 默认值: 0.

这段配置的意思是,当一个 PHP-CGI 进程处理的请求数累积到 500 个后,自动重启该进程。

但是为什么要重启进程呢?

一般在项目中,我们多多少少都会用到一些 PHP 的第三方库,这些第三方库经常存在内存泄漏问题,如果不定期重启 PHP-CGI 进程,势必造成内存使用量不断增长。因此 PHP-FPM 作为 PHP-CGI 的管理器,提供了这么一项监控功能,对请求达到指定次数的 PHP-CGI 进程进行重启,保证内存使用量不增长。

正是因为这个机制,在高并发的站点中,经常导致 502 错误,我猜测原因是 PHP-FPM 对从 NGINX 过来的请求队列没处理好。不过我目前用的还是 PHP 5.3.2,不知道在 PHP 5.3.3 中是否还存在这个问题。

目前我们的解决方法是,把这个值尽量设置大些,尽可能减少 PHP-CGI 重新 SPAWN 的次数,同时也能提高总体性能。在我们自己实际的生产环境中发现,内存泄漏并不明显,因此我们将这个值设置得非常大(204800)。大家要根据自己的实际情况设置这个值,不能盲目地加大。

话说回来,这套机制目的只为保证 PHP-CGI 不过分地占用内存,为何不通过检测内存的方式来处理呢?我非常认同高春辉所说的,通过设置进程的峰值内在占用量来重启 PHP-CGI 进程,会是更好的一个解决方案。

3,php-fpm的慢日志,debug及异常排查神器:

request_slowlog_timeout设置一个超时的参数,slowlog设置慢日志的存放位置

1 tail -f /var/log/www.slow.log 

上面的命令即可看到执行过慢的php过程。

大家可以看到经常出现的网络读取超过、Mysql查询过慢的问题,根据提示信息再排查问题就有很明确的方向了