PHP 配置安全审计（php-config-audit）

分析 PHP 项目配置与运行时设置，检测安全相关配置缺陷：

• CORS 过宽（允许所有来源、credentials 组合不当）
• 错误与调试信息暴露（display_errors、debug 模式、未隐藏堆栈）
• 安全响应头缺失（CSP、X-Frame-Options/Frame-Options、Referrer-Policy、HSTS 等）
• 危险 PHP/运行时开关（如 allow_url_include、file_uploads 等与业务联动的危险组合）
• 上传/下载目录的可访问/可执行属性（若可由配置推断则输出证据）

分级与编号

• 详见：shared/SEVERITY_RATING.md
• 漏洞编号：{C/H/M/L}-CFG-{序号}

必检证据（强制）

必须给出每条问题的证据路径：

• 配置文件/环境变量位置（例如 .env、config/*.php/yaml、php.ini、Dockerfile/entrypoint）
• 运行时设置代码位置（ini_set、set_exception_handler、响应头中间件）
• 影响点：哪些路由/响应被该配置影响（必须关联至少一类入口/响应链）