error_log()
功能描述:將錯(cuò)誤信息發(fā)送到指定位置(文件)��。
安全備注:在某些版本的 PHP 中�����,可使用 error_log() 繞過(guò) PHP safe mode���, 執(zhí)行任意命令。
危險(xiǎn)等級(jí):低
phpinfo()
功能描述:輸出 PHP 環(huán)境信息以及相關(guān)的模塊��、WEB 環(huán)境等信息��。
危險(xiǎn)等級(jí):中
scandir()
功能描述:列出指定路徑中的文件和目錄�。
禁用建議:不建議禁用���,因?yàn)閠hinkphp框架需要調(diào)用����。
危險(xiǎn)等級(jí):中
syslog()
功能描述:可調(diào)用 UNIX 系統(tǒng)的系統(tǒng)層 syslog() 函數(shù)�����。
危險(xiǎn)等級(jí):中
readlink()
功能描述:返回符號(hào)連接指向的目標(biāo)文件內(nèi)容。
危險(xiǎn)等級(jí):中
stream_socket_server()
功能描述:建立一個(gè) Internet 或 UNIX 服務(wù)器連接��。
禁用建議:不建議禁用,workerman框架需要使用�����。
危險(xiǎn)等級(jí):中
passthru()
功能描述:允許執(zhí)行一個(gè)外部程序并回顯輸出��,類似于 exec()�。
危險(xiǎn)等級(jí):高
exec()
功能描述:允許執(zhí)行一個(gè)外部程序(如 UNIX Shell 或 CMD 命令等)。
危險(xiǎn)等級(jí):高
system()
功能描述:允許執(zhí)行一個(gè)外部程序并回顯輸出��,類似于 passthru()���。
危險(xiǎn)等級(jí):高
chroot()
功能描述:可改變當(dāng)前 PHP 進(jìn)程的工作根目錄�,僅當(dāng)系統(tǒng)支持 CLI 模式 PHP 時(shí)才能工作,且該函數(shù)不適用于 Windows 系統(tǒng)����。
危險(xiǎn)等級(jí):高
chgrp()
功能描述:改變文件或目錄所屬的用戶組。
危險(xiǎn)等級(jí):高
chown()
功能描述:改變文件或目錄的所有者����。
危險(xiǎn)等級(jí):高
shell_exec()
功能描述:通過(guò) Shell 執(zhí)行命令���,并將執(zhí)行結(jié)果作為字符串返回�。
危險(xiǎn)等級(jí):高
proc_open()
功能描述:執(zhí)行一個(gè)命令并打開文件指針用于讀取以及寫入����。
危險(xiǎn)等級(jí):高
proc_get_status()
功能描述:獲取使用 proc_open() 所打開進(jìn)程的信息。
危險(xiǎn)等級(jí):高
ini_set()
功能描述:可用于修改�����、設(shè)置 PHP 環(huán)境配置參數(shù)���。
禁用建議:不建議禁用����,因?yàn)楹芏喑绦蛐枰褂?,比如:
?php
ini_set("error_reporting","E_ALL ~E_NOTICE");//設(shè)置 PHP的報(bào)錯(cuò)級(jí)別并返回當(dāng)前級(jí)別����。
?>
危險(xiǎn)等級(jí):高
ini_alter()
功能描述:是 ini_set() 函數(shù)的一個(gè)別名函數(shù),功能與 ini_set() 相同��。
危險(xiǎn)等級(jí):高
ini_restore()
功能描述:可用于恢復(fù) PHP 環(huán)境配置參數(shù)到其初始值�。
危險(xiǎn)等級(jí):高
dl()
功能描述:在 PHP 進(jìn)行運(yùn)行過(guò)程當(dāng)中(而非啟動(dòng)時(shí))加載一個(gè) PHP 外部模塊。
危險(xiǎn)等級(jí):高
pfsockopen()
功能描述:建立一個(gè) Internet 或 UNIX 域的 socket 持久連接���。
危險(xiǎn)等級(jí):高
symlink()
功能描述:在 UNIX 系統(tǒng)中建立一個(gè)符號(hào)鏈接�����。
危險(xiǎn)等級(jí):高
popen()
功能描述:可通過(guò) popen() 的參數(shù)傳遞一條命令��,并對(duì) popen() 所打開的文件進(jìn)行執(zhí)行�。
危險(xiǎn)等級(jí):高
putenv()
功能描述:用于在 PHP 運(yùn)行時(shí)改變系統(tǒng)字符集環(huán)境����。在低于 5.2.6 版本的 PHP 中,可利用該函數(shù) 修改系統(tǒng)字符集環(huán)境后��,利用 sendmail 指令發(fā)送特殊參數(shù)執(zhí)行系統(tǒng) SHELL 命令��。
危險(xiǎn)等級(jí):高
fsockopen()
功能描述:一個(gè)可以實(shí)現(xiàn)遠(yuǎn)程登錄訪問的函數(shù),也容易被黑客利用進(jìn)行PHPDDOS攻擊��。phpddos原理是向外發(fā)upd包�,curl當(dāng)然也可以,但默認(rèn)情況下fsockopen可用���,curl不默認(rèn)加載�����。
危險(xiǎn)等級(jí):高
禁用方法:
打開php.ini文件����, 查找到disable_functions���,在等于號(hào)(=)后面添加需禁用的函數(shù)名,如下:
syslog,readlink,passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,symlink,popen,putenv,fsocket,fsockopen
disable_functions =syslog,readlink,passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,symlink,popen,putenv,fsocket,fsockopen
到此這篇關(guān)于PHP危險(xiǎn)函數(shù)禁用深入詳解的文章就介紹到這了,更多相關(guān)PHP危險(xiǎn)函數(shù)禁用內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家�!
您可能感興趣的文章:- PHP的命令行擴(kuò)展Readline相關(guān)函數(shù)的使用
- PHP中垃圾回收相關(guān)函數(shù)的使用
- PHP中斷言函數(shù)的使用詳解
- 詳解各種PHP函數(shù)漏洞
- PHP的imageTtfText()函數(shù)深入詳解
- PHP執(zhí)行系統(tǒng)命令函數(shù)實(shí)例講解
- PHP之header函數(shù)詳解
- php中sort函數(shù)排序知識(shí)點(diǎn)總結(jié)
- php中rsort函數(shù)實(shí)例用法
- 淺談定義一個(gè)PHP函數(shù)
