一些需要禁用的PHP危险函数(disable_functions)


Posted in PHP onFebruary 23, 2012

phpinfo()
功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。
危险等级:中

passthru()
功能描述:允许执行一个外部程序并回显输出,类似于 exec()。
危险等级:高

exec()
功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。
危险等级:高

system()
功能描述:允许执行一个外部程序并回显输出,类似于 passthru()。
危险等级:高

chroot()
功能描述:可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式
PHP 时才能工作,且该函数不适用于 Windows 系统。
危险等级:高

scandir()
功能描述:列出指定路径中的文件和目录。
危险等级:中

chgrp()
功能描述:改变文件或目录所属的用户组。
危险等级:高

chown()
功能描述:改变文件或目录的所有者。
危险等级:高

shell_exec()
功能描述:通过 Shell 执行命令,并将执行结果作为字符串返回。
危险等级:高

proc_open()
功能描述:执行一个命令并打开文件指针用于读取以及写入。
危险等级:高

proc_get_status()
功能描述:获取使用 proc_open() 所打开进程的信息。
危险等级:高

error_log()
功能描述:将错误信息发送到指定位置(文件)。
安全备注:在某些版本的 PHP 中,可使用 error_log() 绕过 PHP safe mode,
执行任意命令。
危险等级:低

ini_alter()
功能描述:是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同。
具体参见 ini_set()。
危险等级:高

ini_set()
功能描述:可用于修改、设置 PHP 环境配置参数。
危险等级:高

ini_restore()
功能描述:可用于恢复 PHP 环境配置参数到其初始值。
危险等级:高

dl()
功能描述:在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块。
危险等级:高

pfsockopen()
功能描述:建立一个 Internet 或 UNIX 域的 socket 持久连接。
危险等级:高

syslog()
功能描述:可调用 UNIX 系统的系统层 syslog() 函数。
危险等级:中

readlink()
功能描述:返回符号连接指向的目标文件内容。
危险等级:中

symlink()
功能描述:在 UNIX 系统中建立一个符号链接。
危险等级:高

popen()
功能描述:可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。
危险等级:高

stream_socket_server()
功能描述:建立一个 Internet 或 UNIX 服务器连接。
危险等级:中

putenv()
功能描述:用于在 PHP 运行时改变系统字符集环境。在低于 5.2.6 版本的 PHP 中,可利用该函数
修改系统字符集环境后,利用 sendmail 指令发送特殊参数执行系统 SHELL 命令。
危险等级:高

禁用方法如下:
打开/etc/php.ini文件,
查找到 disable_functions ,添加需禁用的函数名,如下:
phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen

PHP 相关文章推荐
FirePHP 推荐一款PHP调试工具
Apr 23 PHP
php防止SQL注入详解及防范
Nov 12 PHP
PHP遍历目录并返回统计目录大小
Jun 09 PHP
十幅图告诉你什么是PHP引用
Feb 22 PHP
php实现以只读方式打开文件的方法
Mar 16 PHP
php生成二维码
Aug 10 PHP
PHP中的数组处理函数实例总结
Jan 09 PHP
全面解读PHP的Yii框架中的日志功能
Mar 17 PHP
PHP上传图片、删除图片简单实例
Nov 12 PHP
PHP面向对象之领域模型+数据映射器实例(分析)
Jun 21 PHP
PHP面向对象程序设计之构造方法和析构方法详解
Jun 13 PHP
php实现将数组或对象写入到文件的方法小结【三种方法】
Apr 22 PHP
PHP面向对象法则
Feb 23 #PHP
优化PHP程序的方法小结
Feb 23 #PHP
数据库中排序的对比及使用条件详解
Feb 23 #PHP
PHP中几个常用的魔术常量
Feb 23 #PHP
PHP教程之PHP中shell脚本的使用方法分享
Feb 23 #PHP
php tp验证表单与自动填充函数代码
Feb 22 #PHP
PHP 设计模式之观察者模式介绍
Feb 22 #PHP
You might like
PHP入门学习笔记之一
2010/10/12 PHP
PHP中基于ts与nts版本- vc6和vc9编译版本的区别详解
2013/04/26 PHP
php检测iis环境是否支持htaccess的方法
2014/02/18 PHP
PHP中创建和验证哈希的简单方法实探
2015/07/06 PHP
Thinkphp5结合layer弹窗定制操作结果页面
2017/07/07 PHP
yii2.0框架数据库操作简单示例【添加,修改,删除,查询,打印等】
2020/04/13 PHP
js验证表单第二部分
2006/11/25 Javascript
jQuery .tmpl(), .template()学习资料小结
2011/07/18 Javascript
js 弹出新页面避免被浏览器、ad拦截的一种新方法
2014/04/30 Javascript
Javascript让DEDECMS告别手写Tag
2014/09/01 Javascript
使用不同的方法结合/合并两个JS数组
2014/09/18 Javascript
JS实现简单易用的手机端浮动窗口显示效果
2016/09/07 Javascript
详解AngularJS中ng-src指令的使用
2016/09/07 Javascript
javascript淘宝主图放大镜功能
2016/10/20 Javascript
学习使用jQuery表单验证插件和日历插件
2017/02/13 Javascript
Vue.js实现备忘录功能
2019/06/26 Javascript
vue+vant-UI框架实现购物车的复选框全选和反选功能
2019/11/05 Javascript
浅析vue-router实现原理及两种模式
2020/02/11 Javascript
vue-cli4使用全局less文件中的变量配置操作
2020/10/21 Javascript
nuxt 路由、过渡特效、中间件的实现代码
2020/11/06 Javascript
python判断给定的字符串是否是有效日期的方法
2015/05/13 Python
python 出现SyntaxError: non-keyword arg after keyword arg错误解决办法
2017/02/14 Python
scrapy爬虫实例分享
2017/12/28 Python
基于python实现高速视频传输程序
2019/05/05 Python
python可视化篇之流式数据监控的实现
2019/08/07 Python
Linux下通过python获取本机ip方法示例
2019/09/06 Python
python-numpy-指数分布实例详解
2019/12/07 Python
Python如何基于selenium实现自动登录博客园
2019/12/16 Python
tensorflow tf.train.batch之数据批量读取方式
2020/01/20 Python
如何在mac下配置python虚拟环境
2020/07/06 Python
美国沙龙美发产品购物网站:Hair.com by L’Oreal
2020/11/09 全球购物
新学期红领巾广播稿
2014/01/14 职场文书
普通员工辞职信范文
2015/05/12 职场文书
爱国主义影片观后感
2015/06/18 职场文书
小学语文国培研修日志
2015/11/13 职场文书
一条慢SQL语句引发的改造之路
2022/03/16 MySQL