一些PHP的危险函数(disable_functions)需要禁用
功能描述:输出php环境信息以及相关模块、web环境等信息。
危险等级:中等
Passthru()
功能描述:允许外部程序执行和退出,类似于执行()。
危险等级:高
(行政)
功能描述:允许执行外部程序(如UNIX shell或CMD命令等)。
危险等级:高
系统()
功能描述:允许被执行回来的外部程序,类似passthru()。
危险等级:高
Chroot()
功能描述:只有在系统支持CLI模式时,当前PHP进程的工作根目录才可以更改。
PHP可以工作,这个函数不适用于Windows系统。
危险等级:高
Scandir()
函数描述:列出指定路径中的文件和目录。
危险等级:中等
Chgrp()
函数描述:更改文件或目录所属的用户组。
危险等级:高
乔恩()
功能描述:更改文件或目录的所有者。
危险等级:高
shell_exec()
函数描述:通过shell执行命令,并将执行结果返回为字符串。
危险等级:高
proc_open()
函数描述:执行命令并打开文件指针进行读写操作。
危险等级:高
proc_get_status()
功能描述:获取,打开使用proc_open过程信息()。
危险等级:高
error_log()
函数描述:将错误信息发送到指定的位置(文件)。
安全注意事项:在PHP的一些版本中,你可以使用error_log()绕过PHP安全模式,
执行任意命令。
危险等级:低
ini_alter()
功能描述:该ini_set别名功能()函数,这是ini_set相同的功能()。
看到ini_set()。
危险等级:高
ini_set()
功能描述:它可以用来修改和设置PHP环境配置参数。
危险等级:高
ini_restore()
功能描述:可用于将PHP环境配置参数还原为其初始值。
危险等级:高
(DL)
功能描述:PHP操作期间加载PHP外部模块(而不是启动)。
危险等级:高
Pfsockopen()
功能描述:在Internet或UNIX域中创建套接字持久性连接。
危险等级:高
Syslog()
功能描述:系统层syslog()的UNIX系统的功能可以被称为。
危险等级:中等
Readlink()
函数描述:返回符号连接指向的目标文件的内容。
危险等级:中等
符号链接()
功能描述:在UNIX系统中建立符号链接。
危险等级:高
Popen()
功能说明:一个命令可以用Popen所传递的参数(),和Popen()打开的文件执行。
危险等级:高
stream_socket_server()
功能描述:建立Internet或UNIX服务器连接。
危险等级:中等
Putenv()
功能说明:它是用来改变系统字符集环境PHP运行时,此功能可用于下一个PHP 5.2.6版本比
修改后的系统字符集环境,sendmail命令用于发送特殊的参数来执行系统命令。
危险等级:高
禁止的方法如下:
打开php.ini文件 / /等,
找到disable_functions,添加您需要禁用的函数名称,如下:
Phpinfo,eval,passthru,exec系统,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_open,chgrp,E,T,T,T,T,T,H,R,R,R,R,R,X,R,R,R,X,X,P,C、X、P、C、X、P、C、X、X、P、C、X、P、X、P、X、P、X、P、X、P、X、P、X、P、X、P、X、P、X、X、P、x,p,x,p,x,x,p,x,p,x