PHP 危险函数全解析


Posted in PHP onSeptember 09, 2009

在编译 PHP 时,如无特殊需要,一定禁止编译生成 CLI 命令行模式的 PHP 解析支持。可在编译时使用 ?disable-CLI。一旦编译生成 CLI 模式的PHP,则可能会被入侵者利用该程序建立一个WEB Shell 后门进程或通过PHP 执行任意代码。
phpinfo()
功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。
危险等级:中
passthru()
功能描述:允许执行一个外部程序并回显输出,类似于 exec()。
危险等级:高
exec()
功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。
危险等级:高
system()
功能描述:允许执行一个外部程序并回显输出,类似于 passthru()。
危险等级:高
chroot()
功能描述:可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式PHP 时才能工作,且该函数不适用于 Windows 系统。
危险等级:高
scandir()
功能描述:列出指定路径中的文件和目录。
危险等级:中
chgrp()
功能描述:改变文件或目录所属的用户组。
危险等级:高
chown()
功能描述:改变文件或目录的所有者。
危险等级:高
shell_exec()
功能描述:通过 Shell 执行命令,并将执行结果作为字符串返回。
危险等级:高
proc_open()
功能描述:执行一个命令并打开文件指针用于读取以及写入。
危险等级:高
proc_get_status()
功能描述:获取使用 proc_open() 所打开进程的信息。
危险等级:高
error_log()
功能描述:将错误信息发送到指定位置(文件)。
安全备注:在某些版本的 PHP 中,可使用 error_log() 绕过 PHP safe mode,
执行任意命令。
危险等级:低
ini_alter()
功能描述:是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同。具体参见 ini_set()。
危险等级:高
ini_set()
功能描述:可用于修改、设置 PHP 环境配置参数。
危险等级:高
ini_restore()
功能描述:可用于恢复 PHP 环境配置参数到其初始值。
危险等级:高
dl()
功能描述:在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块。
危险等级:高
pfsockopen()
功能描述:建立一个 Internet 或 UNIX 域的 socket 持久连接。
危险等级:高
syslog()
功能描述:可调用 UNIX 系统的系统层 syslog() 函数。
危险等级:中
readlink()
功能描述:返回符号连接指向的目标文件内容。
危险等级:中
symlink()
功能描述:在 UNIX 系统中建立一个符号链接。
危险等级:高
popen()
功能描述:可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。
危险等级:高
stream_socket_server()
功能描述:建立一个 Internet 或 UNIX 服务器连接。
危险等级:中
putenv()
功能描述:用于在 PHP 运行时改变系统字符集环境。在低于 5.2.6 版本的 PHP 中,可利用该函数修改系统字符集环境后,利用 sendmail 指令发送特殊参数执行系统 SHELL 命令。
危险等级:高

PHP 相关文章推荐
PHP 字符串 小常识
Jun 05 PHP
php调用c接口无错版介绍
Mar 11 PHP
php中Array2xml类实现数组转化成XML实例
Dec 08 PHP
PHP获取文件相对路径的方法
Feb 26 PHP
PHP+Mysql+jQuery文件下载次数统计实例讲解
Oct 10 PHP
浅析php静态方法与非静态方法的用法区别
May 17 PHP
php 实现Hash表功能实例详解
Nov 29 PHP
PHP计算近1年的所有月份
Mar 13 PHP
Laravel中批量赋值Mass-Assignment的真正含义详解
Sep 29 PHP
thinkPHP3.2.3实现阿里大于短信验证的方法
Jun 06 PHP
redis+php实现微博(一)注册与登录功能详解
Sep 23 PHP
php多进程并发编程防止出现僵尸进程的方法分析
Feb 28 PHP
php 获取远程网页内容的函数
Sep 08 #PHP
php 遍历数据表数据并列表横向排列的代码
Sep 05 #PHP
不要轻信 PHP_SELF的安全问题
Sep 05 #PHP
php中$_SERVER[PHP_SELF] 和 $_SERVER[SCRIPT_NAME]之间的区别
Sep 05 #PHP
php getsiteurl()函数
Sep 05 #PHP
PHP 内存缓存加速功能memcached安装与用法
Sep 03 #PHP
用PHP读取flv文件的播放时间长度
Sep 03 #PHP
You might like
曾在DC漫画界反派角色扮演的演员,谁才是你心目中的小丑之王?
2020/04/09 欧美动漫
基于python发送邮件的乱码问题的解决办法
2013/04/25 PHP
php实现的Curl封装类Curl.class.php用法实例分析
2015/09/25 PHP
JS鼠标事件大全 推荐收藏
2011/11/01 Javascript
jquery 操作日期、星期、元素的追加的实现代码
2012/02/07 Javascript
JS性能优化笔记搜索整理
2013/08/21 Javascript
node.js中的fs.statSync方法使用说明
2014/12/16 Javascript
jQuery中animate()方法用法实例
2014/12/24 Javascript
JavaScript使用cookie记录临时访客信息的方法
2015/04/07 Javascript
jQuery入门之层次选择器实例简析
2015/12/11 Javascript
jquery广告无缝轮播实例
2017/01/05 Javascript
Bootstrap滚动监听组件scrollspy.js使用方法详解
2017/07/20 Javascript
在 Angular中 使用 Lodash 的方法
2018/02/11 Javascript
javascript与PHP动态往类中添加方法对比
2018/03/21 Javascript
H5+C3+JS实现五子棋游戏(AI篇)
2020/05/28 Javascript
JS实现在线ps功能详解
2019/07/31 Javascript
js中Function引用类型常见有用的方法和属性详解
2019/12/11 Javascript
jQuery实现飞机大战小游戏
2020/07/05 jQuery
[10:28]2018DOTA2国际邀请赛寻真——VGJ.S寻梦之路
2018/08/15 DOTA
python生成随机验证码(中文验证码)示例
2014/04/03 Python
python实现日常记账本小程序
2018/03/10 Python
使用pandas将numpy中的数组数据保存到csv文件的方法
2018/06/14 Python
Django如何简单快速实现PUT、DELETE方法
2019/07/24 Python
在Python中使用MySQL--PyMySQL的基本使用方法
2019/11/19 Python
Pytorch框架实现mnist手写库识别(与tensorflow对比)
2020/07/20 Python
Python pip install之SSL异常处理操作
2020/09/03 Python
Python经典五人分鱼实例讲解
2021/01/04 Python
斯凯奇新西兰官网:SKECHERS新西兰
2018/02/22 全球购物
好莱坞百老汇御用王牌美妆:Koh Gen Do 江原道
2018/04/03 全球购物
亲子阅读的活动方案
2014/08/15 职场文书
2014年班务工作总结
2014/12/02 职场文书
求职简历自我评价怎么写
2015/03/10 职场文书
2015年敬老月活动总结
2015/03/27 职场文书
2015年小学生国庆节演讲稿
2015/07/30 职场文书
英语导游欢迎词
2015/09/30 职场文书
ConstraintValidator类如何实现自定义注解校验前端传参
2021/06/18 Java/Android