PHP 危险函数全解析


Posted in PHP onSeptember 09, 2009

在编译 PHP 时,如无特殊需要,一定禁止编译生成 CLI 命令行模式的 PHP 解析支持。可在编译时使用 ?disable-CLI。一旦编译生成 CLI 模式的PHP,则可能会被入侵者利用该程序建立一个WEB Shell 后门进程或通过PHP 执行任意代码。
phpinfo()
功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。
危险等级:中
passthru()
功能描述:允许执行一个外部程序并回显输出,类似于 exec()。
危险等级:高
exec()
功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。
危险等级:高
system()
功能描述:允许执行一个外部程序并回显输出,类似于 passthru()。
危险等级:高
chroot()
功能描述:可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式PHP 时才能工作,且该函数不适用于 Windows 系统。
危险等级:高
scandir()
功能描述:列出指定路径中的文件和目录。
危险等级:中
chgrp()
功能描述:改变文件或目录所属的用户组。
危险等级:高
chown()
功能描述:改变文件或目录的所有者。
危险等级:高
shell_exec()
功能描述:通过 Shell 执行命令,并将执行结果作为字符串返回。
危险等级:高
proc_open()
功能描述:执行一个命令并打开文件指针用于读取以及写入。
危险等级:高
proc_get_status()
功能描述:获取使用 proc_open() 所打开进程的信息。
危险等级:高
error_log()
功能描述:将错误信息发送到指定位置(文件)。
安全备注:在某些版本的 PHP 中,可使用 error_log() 绕过 PHP safe mode,
执行任意命令。
危险等级:低
ini_alter()
功能描述:是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同。具体参见 ini_set()。
危险等级:高
ini_set()
功能描述:可用于修改、设置 PHP 环境配置参数。
危险等级:高
ini_restore()
功能描述:可用于恢复 PHP 环境配置参数到其初始值。
危险等级:高
dl()
功能描述:在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块。
危险等级:高
pfsockopen()
功能描述:建立一个 Internet 或 UNIX 域的 socket 持久连接。
危险等级:高
syslog()
功能描述:可调用 UNIX 系统的系统层 syslog() 函数。
危险等级:中
readlink()
功能描述:返回符号连接指向的目标文件内容。
危险等级:中
symlink()
功能描述:在 UNIX 系统中建立一个符号链接。
危险等级:高
popen()
功能描述:可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。
危险等级:高
stream_socket_server()
功能描述:建立一个 Internet 或 UNIX 服务器连接。
危险等级:中
putenv()
功能描述:用于在 PHP 运行时改变系统字符集环境。在低于 5.2.6 版本的 PHP 中,可利用该函数修改系统字符集环境后,利用 sendmail 指令发送特殊参数执行系统 SHELL 命令。
危险等级:高

PHP 相关文章推荐
留言板翻页的实现详解
Oct 09 PHP
用php过滤危险html代码的函数
Jul 22 PHP
使用PHP提取视频网站页面中的FLASH地址的代码
Apr 17 PHP
php中使用__autoload()自动加载未定义类的实现代码
Feb 06 PHP
php中如何防止表单的重复提交
Aug 02 PHP
php中ob函数缓冲机制深入理解
Aug 03 PHP
优化WordPress的Google字体以加速国内服务器上的运行
Nov 24 PHP
WordPress中邮件的一些修改和自定义技巧
Dec 15 PHP
WordPress主题中添加文章列表页页码导航的PHP代码实例
Dec 22 PHP
示例详解Laravel重置密码代码重构
Aug 10 PHP
thinkPHP5 tablib标签库自定义方法详解
May 10 PHP
phpmyadmin下载、安装、配置教程
May 16 PHP
php 获取远程网页内容的函数
Sep 08 #PHP
php 遍历数据表数据并列表横向排列的代码
Sep 05 #PHP
不要轻信 PHP_SELF的安全问题
Sep 05 #PHP
php中$_SERVER[PHP_SELF] 和 $_SERVER[SCRIPT_NAME]之间的区别
Sep 05 #PHP
php getsiteurl()函数
Sep 05 #PHP
PHP 内存缓存加速功能memcached安装与用法
Sep 03 #PHP
用PHP读取flv文件的播放时间长度
Sep 03 #PHP
You might like
无数据库的详细域名查询程序PHP版(3)
2006/10/09 PHP
php 阴历-农历-转换类代码
2012/01/16 PHP
php颜色转换函数hex-rgb(将十六进制格式转成十进制格式)
2013/09/23 PHP
PHP中的多行字符串传递给JavaScript的两种方法
2014/06/19 PHP
PHP函数import_request_variables()用法分析
2016/04/02 PHP
php获取'/'传参的值简单方法
2017/07/13 PHP
怎么用javascript进行拖拽
2006/07/20 Javascript
JS 无限级 Select效果实现代码(json格式)
2011/08/30 Javascript
原生js实现跨浏览器获取鼠标按键的值
2013/04/08 Javascript
jquery cookie的用法总结
2013/11/18 Javascript
JavaScript高阶函数_动力节点Java学院整理
2017/06/28 Javascript
用最少的JS代码写出贪吃蛇游戏
2018/01/12 Javascript
node puppeteer(headless chrome)实现网站登录
2018/05/09 Javascript
Vue监听一个数组id是否与另一个数组id相同的方法
2018/09/26 Javascript
VUE-cli3使用 svg-sprite-loader
2018/10/20 Javascript
微信小程序tabbar底部导航
2018/11/05 Javascript
JavaScript实现美化滑块效果
2019/05/17 Javascript
原生js实现滑块区间组件
2021/01/20 Javascript
python中将阿拉伯数字转换成中文的实现代码
2011/05/19 Python
Python程序设计入门(5)类的使用简介
2014/06/16 Python
Python实现桶排序与快速排序算法结合应用示例
2017/11/22 Python
python psutil库安装教程
2018/03/19 Python
python networkx 包绘制复杂网络关系图的实现
2019/07/10 Python
如何基于python操作json文件获取内容
2019/12/24 Python
Tensorflow实现在训练好的模型上进行测试
2020/01/20 Python
Python抓新型冠状病毒肺炎疫情数据并绘制全国疫情分布的代码实例
2020/02/05 Python
Python多线程:主线程等待所有子线程结束代码
2020/04/25 Python
CSS3制作圆角图片和椭圆形图片
2016/07/08 HTML / CSS
新秀丽拉杆箱美国官方网站:Samsonite美国
2016/07/25 全球购物
NFL Game Pass欧洲:在线观看NFL比赛直播和点播,以高清质量播放
2018/08/30 全球购物
副董事长岗位职责
2014/04/02 职场文书
师德标兵先进事迹材料
2014/12/19 职场文书
幼师辞职信怎么写
2015/02/27 职场文书
财务人员个人工作总结
2015/02/27 职场文书
违反纪律检讨书范文
2015/05/07 职场文书
导游词之山东八仙过海景区
2019/11/11 职场文书