一些需要禁用的PHP危险函数(disable_functions)


Posted in PHP onFebruary 23, 2012

phpinfo()
功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。
危险等级:中

passthru()
功能描述:允许执行一个外部程序并回显输出,类似于 exec()。
危险等级:高

exec()
功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。
危险等级:高

system()
功能描述:允许执行一个外部程序并回显输出,类似于 passthru()。
危险等级:高

chroot()
功能描述:可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式
PHP 时才能工作,且该函数不适用于 Windows 系统。
危险等级:高

scandir()
功能描述:列出指定路径中的文件和目录。
危险等级:中

chgrp()
功能描述:改变文件或目录所属的用户组。
危险等级:高

chown()
功能描述:改变文件或目录的所有者。
危险等级:高

shell_exec()
功能描述:通过 Shell 执行命令,并将执行结果作为字符串返回。
危险等级:高

proc_open()
功能描述:执行一个命令并打开文件指针用于读取以及写入。
危险等级:高

proc_get_status()
功能描述:获取使用 proc_open() 所打开进程的信息。
危险等级:高

error_log()
功能描述:将错误信息发送到指定位置(文件)。
安全备注:在某些版本的 PHP 中,可使用 error_log() 绕过 PHP safe mode,
执行任意命令。
危险等级:低

ini_alter()
功能描述:是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同。
具体参见 ini_set()。
危险等级:高

ini_set()
功能描述:可用于修改、设置 PHP 环境配置参数。
危险等级:高

ini_restore()
功能描述:可用于恢复 PHP 环境配置参数到其初始值。
危险等级:高

dl()
功能描述:在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块。
危险等级:高

pfsockopen()
功能描述:建立一个 Internet 或 UNIX 域的 socket 持久连接。
危险等级:高

syslog()
功能描述:可调用 UNIX 系统的系统层 syslog() 函数。
危险等级:中

readlink()
功能描述:返回符号连接指向的目标文件内容。
危险等级:中

symlink()
功能描述:在 UNIX 系统中建立一个符号链接。
危险等级:高

popen()
功能描述:可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。
危险等级:高

stream_socket_server()
功能描述:建立一个 Internet 或 UNIX 服务器连接。
危险等级:中

putenv()
功能描述:用于在 PHP 运行时改变系统字符集环境。在低于 5.2.6 版本的 PHP 中,可利用该函数
修改系统字符集环境后,利用 sendmail 指令发送特殊参数执行系统 SHELL 命令。
危险等级:高

禁用方法如下:
打开/etc/php.ini文件,
查找到 disable_functions ,添加需禁用的函数名,如下:
phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen

PHP 相关文章推荐
vs中通过剪切板循环来循环粘贴不同内容
Apr 30 PHP
php中计算未知长度的字符串哪个字符出现的次数最多的代码
Aug 14 PHP
深入分析php之面向对象
May 15 PHP
PHP开发中常见的安全问题详解和解决方法(如Sql注入、CSRF、Xss、CC等)
Apr 21 PHP
PHP APC配置文件2套和参数详解
Jun 11 PHP
PHP中file_exists函数不支持中文名的解决方法
Jul 26 PHP
php的闭包(Closure)匿名函数详解
Feb 22 PHP
在Mac OS的PHP环境下安装配置MemCache的全过程解析
Feb 15 PHP
深入理解php printf() 输出格式化的字符串
May 23 PHP
php图像处理函数imagecopyresampled用法详解
Dec 02 PHP
PHP给源代码加密的几种方法汇总(推荐)
Feb 06 PHP
PHP设计模式之工厂方法设计模式实例分析
Apr 25 PHP
PHP面向对象法则
Feb 23 #PHP
优化PHP程序的方法小结
Feb 23 #PHP
数据库中排序的对比及使用条件详解
Feb 23 #PHP
PHP中几个常用的魔术常量
Feb 23 #PHP
PHP教程之PHP中shell脚本的使用方法分享
Feb 23 #PHP
php tp验证表单与自动填充函数代码
Feb 22 #PHP
PHP 设计模式之观察者模式介绍
Feb 22 #PHP
You might like
如何对PHP程序中的常见漏洞进行攻击(下)
2006/10/09 PHP
getimagesize获取图片尺寸实例
2014/11/15 PHP
php外部执行命令函数用法小结
2016/10/11 PHP
PHP实现用户登录的案例代码
2018/05/10 PHP
PHP goto语句用法实例
2019/08/06 PHP
php的无刷新操作实现方法分析
2020/02/28 PHP
jquery 最简单易用的表单验证插件
2010/02/27 Javascript
Extjs中ComboBox加载并赋初值的实现方法
2012/03/22 Javascript
javascript代码运行不出来执行错误的可能情况整理
2013/10/18 Javascript
JS实现图片局部放大或缩小的方法
2016/08/20 Javascript
从零学习node.js之mysql数据库的操作(五)
2017/02/24 Javascript
正则表达式基本语法及表单验证操作详解【基于JS】
2017/04/07 Javascript
通过js修改input、select默认字体颜色
2017/04/19 Javascript
Angular中的$watch方法详解
2017/09/18 Javascript
vue实现nav导航栏的方法
2017/12/13 Javascript
彻底理解js面向对象之继承
2018/02/04 Javascript
jQuery实现上下滚动公告栏详细代码
2018/11/21 jQuery
JavaScript实现滚动加载更多
2020/12/27 Javascript
详解Vue2的diff算法
2021/01/06 Vue.js
jQuery冲突问题解决方法
2021/01/19 jQuery
python进阶教程之函数对象(函数也是对象)
2014/08/30 Python
python实现的简单窗口倒计时界面实例
2015/05/05 Python
各个系统下的Python解释器相关安装方法
2015/10/12 Python
Python实现随机生成手机号及正则验证手机号的方法
2018/04/25 Python
pthon贪吃蛇游戏详细代码
2019/01/27 Python
实例介绍Python中整型
2019/02/11 Python
python psutil监控进程实例
2019/12/17 Python
Python tkinter三种布局实例详解
2020/01/06 Python
Python插入Elasticsearch操作方法解析
2020/01/19 Python
有趣的睡衣和礼物:LazyOne
2019/11/27 全球购物
什么是TCP/IP
2014/07/27 面试题
三项教育活动实施方案
2014/03/30 职场文书
党员演讲稿
2014/09/04 职场文书
物理分数没达标检讨书
2014/09/13 职场文书
中学教师个人总结
2015/02/10 职场文书
使用CSS定位HTML元素的实现方法
2022/07/07 HTML / CSS