一些需要禁用的PHP危险函数(disable_functions)


Posted in PHP onFebruary 23, 2012

phpinfo()
功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。
危险等级:中

passthru()
功能描述:允许执行一个外部程序并回显输出,类似于 exec()。
危险等级:高

exec()
功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。
危险等级:高

system()
功能描述:允许执行一个外部程序并回显输出,类似于 passthru()。
危险等级:高

chroot()
功能描述:可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式
PHP 时才能工作,且该函数不适用于 Windows 系统。
危险等级:高

scandir()
功能描述:列出指定路径中的文件和目录。
危险等级:中

chgrp()
功能描述:改变文件或目录所属的用户组。
危险等级:高

chown()
功能描述:改变文件或目录的所有者。
危险等级:高

shell_exec()
功能描述:通过 Shell 执行命令,并将执行结果作为字符串返回。
危险等级:高

proc_open()
功能描述:执行一个命令并打开文件指针用于读取以及写入。
危险等级:高

proc_get_status()
功能描述:获取使用 proc_open() 所打开进程的信息。
危险等级:高

error_log()
功能描述:将错误信息发送到指定位置(文件)。
安全备注:在某些版本的 PHP 中,可使用 error_log() 绕过 PHP safe mode,
执行任意命令。
危险等级:低

ini_alter()
功能描述:是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同。
具体参见 ini_set()。
危险等级:高

ini_set()
功能描述:可用于修改、设置 PHP 环境配置参数。
危险等级:高

ini_restore()
功能描述:可用于恢复 PHP 环境配置参数到其初始值。
危险等级:高

dl()
功能描述:在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块。
危险等级:高

pfsockopen()
功能描述:建立一个 Internet 或 UNIX 域的 socket 持久连接。
危险等级:高

syslog()
功能描述:可调用 UNIX 系统的系统层 syslog() 函数。
危险等级:中

readlink()
功能描述:返回符号连接指向的目标文件内容。
危险等级:中

symlink()
功能描述:在 UNIX 系统中建立一个符号链接。
危险等级:高

popen()
功能描述:可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。
危险等级:高

stream_socket_server()
功能描述:建立一个 Internet 或 UNIX 服务器连接。
危险等级:中

putenv()
功能描述:用于在 PHP 运行时改变系统字符集环境。在低于 5.2.6 版本的 PHP 中,可利用该函数
修改系统字符集环境后,利用 sendmail 指令发送特殊参数执行系统 SHELL 命令。
危险等级:高

禁用方法如下:
打开/etc/php.ini文件,
查找到 disable_functions ,添加需禁用的函数名,如下:
phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen

PHP 相关文章推荐
模拟SQLSERVER的两个函数:dateadd(),datediff()
Oct 09 PHP
PHP集成FCK的函数代码
Sep 27 PHP
PHP 超链接 抓取实现代码
Jun 29 PHP
PHP根据IP地址获取所在城市具体实现
Nov 27 PHP
php按百分比生成缩略图的代码分享
May 10 PHP
php include类文件超时问题处理
Feb 06 PHP
php获取YouTube视频信息的方法
Feb 11 PHP
tp框架(thinkPHP)实现三次登陆密码错误之后锁定账号功能示例
May 24 PHP
PHP PDOStatement::closeCursor讲解
Jan 30 PHP
PHP中的自动加载操作实现方法详解
Aug 06 PHP
php自动加载代码实例详解
Feb 26 PHP
aec加密 php_php aes加密解密类(兼容php5、php7)
Mar 14 PHP
PHP面向对象法则
Feb 23 #PHP
优化PHP程序的方法小结
Feb 23 #PHP
数据库中排序的对比及使用条件详解
Feb 23 #PHP
PHP中几个常用的魔术常量
Feb 23 #PHP
PHP教程之PHP中shell脚本的使用方法分享
Feb 23 #PHP
php tp验证表单与自动填充函数代码
Feb 22 #PHP
PHP 设计模式之观察者模式介绍
Feb 22 #PHP
You might like
PHP 5.0对象模型深度探索之绑定
2006/09/05 PHP
php strrpos()与strripos()函数
2013/08/31 PHP
laravel学习笔记之模型事件的几种用法示例
2017/08/15 PHP
jQuery学习3:操作元素属性和特性
2010/02/07 Javascript
工作需要写的一个js拖拽组件
2011/07/28 Javascript
JS打印gridview实现原理及代码
2013/02/05 Javascript
Jquery chosen动态设置值实例介绍
2013/08/08 Javascript
jQuery中prepend()方法使用详解
2015/08/11 Javascript
js如何打印object对象
2015/10/16 Javascript
深入解析JavaScript编程中的this关键字使用
2015/11/09 Javascript
莱鸟介绍window.print()方法
2016/01/06 Javascript
使用 stylelint检查CSS_StyleLint
2016/04/28 Javascript
基于JS实现数字+字母+中文的混合排序方法
2016/06/06 Javascript
JQuery实现DIV其他动画效果的简单实例
2016/09/18 Javascript
微信小程序-获得用户输入内容
2017/02/13 Javascript
angular ng-click防止重复提交实例
2017/06/16 Javascript
使用canvas进行图像编辑的实例
2017/08/29 Javascript
详解vue-cli快速构建vue应用并实现webpack打包
2017/12/13 Javascript
JS/HTML5游戏常用算法之路径搜索算法 A*寻路算法完整实例
2018/12/14 Javascript
微信小程序-可移动菜单的实现过程详解
2019/06/24 Javascript
微信小程序自定义扫码功能界面的实现代码
2020/07/02 Javascript
[00:32]2018DOTA2亚洲邀请赛出场——LGD
2018/04/04 DOTA
使用Python获取CPU、内存和硬盘等windowns系统信息的2个例子
2014/04/15 Python
利用Python绘制数据的瀑布图的教程
2015/04/07 Python
Django使用详解:ORM 的反向查找(related_name)
2018/05/30 Python
Python实现微信自动好友验证,自动回复,发送群聊链接方法
2019/02/21 Python
PyCharm安装Markdown插件的两种方法
2019/06/24 Python
Python元组 tuple的概念与基本操作详解【定义、创建、访问、计数、推导式等】
2019/10/30 Python
PyTorch使用cpu加载模型运算方式
2020/01/13 Python
土木工程应届生自荐信
2013/09/24 职场文书
音乐表演专业毕业生求职信
2013/10/14 职场文书
中学劳技课教师的自我评价
2014/02/05 职场文书
学校党支部承诺书
2015/04/30 职场文书
2019学校运动会开幕词
2019/05/13 职场文书
python plt.plot bar 如何设置绘图尺寸大小
2021/06/01 Python
Redis源码阅读:Redis字符串SDS详解
2021/07/15 Redis