CentOS是一個非常流行的Linux操作系統，用于構建Web服務器。在這個操作系統上，Php是一個常見的程式語言，許多Web應用程式都是基于Php構建的。

然而，安全性問題一直是管理者必須考慮的問題。以下是一些要注意的CentOS上Php安全方面的問題。

防止SQL注入

$id = mysqli_real_escape_string($con, $_GET['id']);
$sql = "SELECT * FROM users WHERE id=$id";

在這個PHP程式結構中，用戶輸入的$id參數會被傳遞到mysqli_real_escape_string函數中 that that that 。這個函數能夠處理掉一些危險字符，例如引號等等。由于這個程式只允許數字作為$id參數，所以我們可以保證它已被轉義。即使用rawurlencode和htmlspecialchars函數，也應該先使用mysqli_real_escape_string函數，以防止任何可能的危險。

避免XSS攻擊

$name = htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
echo "Hello, " . $name . "!";

這個PHP程式結構中，我們使用htmlspecialchars函數來Signle quotation mark and Double quotation mark。

這樣的好處是從HTML代碼中都脫離程式碼了，訪客即使用input框來在域中注入偽造的代碼，也無法對網站造成危害。

避免文件注入

$file = $_POST['file'];
$path = '/var/www/uploads/' . $file;
if (file_exists($path)) {
header('Content-Description: File Transfer');
header('Content-Type: application/octet-stream');
header('Cache-Control: must-revalidate');
header('Pragma: public');
header('Content-Length: ' . filesize($path));
readfile($path);
exit;
}

在這個PHP程式結構中，用戶可以輸入$file參數，并使用它來訪問/upload目錄中的文件。這可以不安全——例如，如果用戶將$file參數設置為../../../etc/passwd，則將被讀取一個服務器配置文件，從而暴露了一些敏感數據。

一個可能的解決方案是，首先使用basename函數來僅使用用戶提供的文件名，并移動上傳文件到地址虛擬目錄之外的其他目錄。

使用PHP安全模式

在PHP 5.2.0中引入的安全模式，可以在 php.ini configuration file 中的safe_mode參數,配置在系統管理員處可以更改，確保腳本從安全的環境紹行。安全模式不允許一些功能，例如調用外部執行文件。

按照以上幾點方法，我們可以在CentOS上安全地運行PHP服務器。然而，安全性應該是持久的問題。此外，您應該始終注意與最近的推廣情報并定期為您的系統應用安全修補程序。