您现在的位置是:群英 > 开发技术 > PHP语言
PHP禁用危险函数有哪一些,功能是什么?
Admin发表于 2022-01-10 18:36:47784 次浏览

    这篇文章我们来了解PHP危险函数禁用的相关内容,有时候为了安全我们需要禁掉一些PHP危险函数,下文总结了一些PHP危险函数及它们的功能和危险等级,感兴趣的朋友就随便小编继续往下看吧!

    error_log()

    功能描述:将错误信息发送到指定位置(文件)。 
    安全备注:在某些版本的 PHP 中,可使用 error_log() 绕过 PHP safe mode, 执行任意命令。 
    危险等级:低

    phpinfo()

    功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。 
    危险等级:中

    scandir() 

    功能描述:列出指定路径中的文件和目录。 
    禁用建议:不建议禁用,因为thinkphp框架需要调用。
    危险等级:中

    syslog() 

    功能描述:可调用 UNIX 系统的系统层 syslog() 函数。 
    危险等级:中

    readlink() 

    功能描述:返回符号连接指向的目标文件内容。 
    危险等级:中

    stream_socket_server() 

    功能描述:建立一个 Internet 或 UNIX 服务器连接。 
    禁用建议:不建议禁用,workerman框架需要使用。
    危险等级:中

    passthru()  

    功能描述:允许执行一个外部程序并回显输出,类似于 exec()。 
    危险等级:高 

    exec() 

    功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。 
    危险等级:高

    system() 

    功能描述:允许执行一个外部程序并回显输出,类似于 passthru()。 
    危险等级:高

    chroot() 

    功能描述:可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式 PHP 时才能工作,且该函数不适用于 Windows 系统。 
    危险等级:高

    chgrp() 

    功能描述:改变文件或目录所属的用户组。 
    危险等级:高

    chown() 

    功能描述:改变文件或目录的所有者。 
    危险等级:高

    shell_exec() 

    功能描述:通过 Shell 执行命令,并将执行结果作为字符串返回。 
    危险等级:高

    proc_open() 

    功能描述:执行一个命令并打开文件指针用于读取以及写入。 
    危险等级:高

    proc_get_status() 

    功能描述:获取使用 proc_open() 所打开进程的信息。 
    危险等级:高

    ini_set() 

    功能描述:可用于修改、设置 PHP 环境配置参数。

    禁用建议:不建议禁用,因为很多程序需要使用 ,比如:

<?php
ini_set("error_reporting","E_ALL & ~E_NOTICE");//设置 PHP的报错级别并返回当前级别。
?>

    危险等级:高

    ini_alter() 

    功能描述:是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同。
    危险等级:高

    ini_restore() 

    功能描述:可用于恢复 PHP 环境配置参数到其初始值。 
    危险等级:高

    dl() 

    功能描述:在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块。 
    危险等级:高

    pfsockopen() 

    功能描述:建立一个 Internet 或 UNIX 域的 socket 持久连接。 
    危险等级:高

    symlink() 

    功能描述:在 UNIX 系统中建立一个符号链接。 
    危险等级:高

    popen() 

    功能描述:可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。 
    危险等级:高

    putenv() 

    功能描述:用于在 PHP 运行时改变系统字符集环境。在低于 5.2.6 版本的 PHP 中,可利用该函数 修改系统字符集环境后,利用 sendmail 指令发送特殊参数执行系统 SHELL 命令。 
    危险等级:高

    fsockopen()

    功能描述:一个可以实现远程登录访问的函数,也容易被黑客利用进行PHPDDOS攻击。phpddos原理是向外发upd包,curl当然也可以,但默认情况下fsockopen可用,curl不默认加载。
    危险等级:高

    禁用方法:

    打开php.ini文件, 查找到disable_functions,在等于号(=)后面添加需禁用的函数名,如下:

syslog,readlink,passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,

symlink,popen,putenv,fsocket,fsockopen

disable_functions =syslog,readlink,passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,
ini_alter,ini_restore,dl,pfsockopen,symlink,popen,putenv,fsocket,fsockopen

    关于PHP危险函数禁用的内容就介绍到这,希望大家阅读完这篇文章能有所收获。想要了解更多PHP危险函数的内容,大家可以关注其它的相关文章。

文本转载自脚本之家

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:mmqy2019@163.com进行举报,并提供相关证据,查实之后,将立刻删除涉嫌侵权内容。

相关信息推荐
2022-02-07 18:19:29 
摘要:这篇文章给大家分享的是Javadoc注释规范的相关内容。Javadoc是内嵌于JDK中的,因此了解清楚Javadoc注释规范是非常有必要的,文中介绍得很详细,有需要的朋友可以参考,接下来就跟随小编一起了解看看吧。
2022-07-22 17:32:51 
摘要:python字典中一键多值写入的方法:1、循环写入字典key、value、删除指定键值对,代码为【for line inlines:line=line.split(',')】;2、循环写入一键对多值,其中格式【{key[value1,}】。
2022-05-17 11:47:18 
摘要:本文实例为大家分享了android帧式布局实现自动切换颜色的具体代码,供大家参考,具体内容如下效果:实现:activity_main.xml<?xml version="1.0" encodin
云活动
推荐内容
热门关键词
热门信息
群英网络助力开启安全的云计算之旅
立即注册,领取新人大礼包
  • 联系我们
  • 24小时售后:4006784567
  • 24小时TEL :0668-2555666
  • 售前咨询TEL:400-678-4567

  • 官方微信

    官方微信
Copyright  ©  QY  Network  Company  Ltd. All  Rights  Reserved. 2003-2019  群英网络  版权所有   茂名市群英网络有限公司
增值电信经营许可证 : B1.B2-20140078   粤ICP备09006778号
免费拨打  400-678-4567
免费拨打  400-678-4567 免费拨打 400-678-4567 或 0668-2555555
微信公众号
返回顶部
返回顶部 返回顶部