禁用高危函数：在 php.ini 中添加：

disable_functions = system,exec,passthru,shell_exec,proc_open,popen

关闭远程加载：

allow_url_fopen = Off
allow_url_include = Off

限制目录访问：设置 open_basedir，让 PHP 只能访问指定目录。

文件权限：网站目录设置合理权限，上传目录只允许写入，不允许执行