站長資訊網本篇文章給大家聊聊PHP安全,介紹一些危險的內置函數,以及禁用函數的方法。有一定的參考價值,有需要的朋友可以參考一下,希望對大家有所幫助。
PHP配置文件中的disable_functions選項能夠在PHP中禁用函數,PHP內置函數中存在很多危險性極高的函數,在生成環境上一定要注意使用。如果設置不當,嚴重可能造成系統崩潰。
內置函數是一把雙刃劍,既能幫助開發人員解決問題,同時也會給安全上造成隱患,所以合理的使用內置函數是一個置關重要的問題,下面一起來看一下危險的內置函數。
chgrp
函數功能:改變文件或目錄所屬的用戶組;
危害性:高
chown
函數功能:改變文件或目錄的所有者;
危害性:高
chroot
函數功能:改變當前PHP進程的工作根目錄,僅當系統支持CLI模式時PHP才能工作,且該函數不適用于Windows系統;
危害性:高
dl
函數功能:在PHP運行過程中(非啟動時)加載一個PHP外部模塊;
危害性:高
exec
函數功能:允許執行一個外部程序,如unix shell或cmd命令等;
危害性:高
ini_alter
函數功能:是ini_set()函數的一個別名函數,功能與ini_set()相同;
危害性:高
ini_restore
函數功能:可用于將PHP環境配置函數恢復為初始值;
危害性:高
ini_set
函數功能:可用于修改、設置PHP環境配置參數;
危害性:高
passthru
函數功能:允許執行一個外部程序并顯示輸出,類似于exec();
危害性:高
pfsockopen
函數功能:建立一個Internet或unix域的socket持久連接;
危害性:高
phpinfo
函數功能:輸出PHP環境信息以及相關模塊、Web環境信息;
危害性:高
popen
函數功能:可通過popen()的參數傳遞一條命令,并對popen()所打開的文件進行執行。
危害性:高
proc_get_status
函數功能:獲取使用proc_open()所打開進程信息;
危害性:高
proc_open
執行一個命令并打開文件指針用于讀取以及寫入;
危害性:高
putenv
用戶PHP運行時改變系統字符集環境,在低于5.2.6版本的PHP中,可利用該函數修改系統字符集環境后,利用sendmail指令發送特殊參數執行系統shell命令;
危害性:高
readlink
函數功能:返回符號連接執行的目標文件內容;
危害性:中
scandir
函數功能:列出指定路徑中的文件和目錄;
危害性:中
shell_exec
函數功能:通過shell執行命令,并將執行結果作為字符串返回;
危害性:高
stream_socket_server
函數功能:建立一個Internet或unix服務器連接;
危害性:中
symlink
函數功能:對已有的target建立一個名為link的符號連接;
危害性:高
syslog
函數功能:可調用unix系統的系統層syslog()函數;
危害性:中
system
函數功能:允許執行一個外部程序并回顯輸出,類似于passthru();
危害性:高
推薦學習:《PHP視頻教程》
