为了安全，PHP应该禁止以下函数：

• eval()：执行用户提供的代码。
• exec()：执行系统命令。
• system()：执行系统命令。
• passthru()：执行系统命令并返回输出。
• shell_exec()：执行系统命令并返回输出。
• popen()：打开一个管道，用于执行系统命令。
• proc_open()：打开一个管道，用于执行系统命令。
• proc_get_status()：获取进程状态。
• proc_terminate()：终止进程。
• escapeshellcmd()：转义字符，用于安全地传递给系统命令。
• escapeshellarg()：转义字符，用于安全地传递给系统命令。
• ini_set()：设置或获取PHP配置选项。
• register_globals()：将HTTP请求变量注册到全局作用域。
• magic_quotes_gpc()：自动转义HTML字符。

此外，还应该进行以下配置：

• 设置 open_basedir 选项，限制PHP只能操作指定目录下的文件。
• 设置 allow_url_include 选项为 off，禁止远程文件包含。
• 设置 allow_url_fopen 选项为 off，禁止远程文件打开。
• 设置 display_errors 选项为 off，禁止错误回显。
• 设置 log_errors 选项为 on，将错误记录到日志文件。
• 设置 session.cookie_httponly 选项为 1，禁止JavaScript读取session cookie。
• 设置 session.cookie_secure 选项为 1，仅在HTTPS连接下发送session cookie。

这些配置和禁止的函数可以帮助防止PHP应用程序受到攻击。

以下是一些额外的安全建议：

• 使用强密码和密码策略。
• 定期更新PHP和其他软件。
• 安装防火墙和入侵检测系统。
• 监控系统日志，以寻找异常活动。

通过采取这些措施，可以帮助提高PHP应用程序的安全性。