PHP危险函数被禁止怎么绕过,PHP危险函数(disable_functions)设置
为了服务器的安全,我们应该怎么来设置php禁止运行某些函数呢?
其实,我们可以在php.ini文件进行设置,查找disable_functions,如图
此时,我们可以看到,我的本地php.ini中的disable_functions,并没用禁止任何php函数的运行,接下来,我们在本地运行以下代码:
phpinfo.php 源代码:
phpinfo();
?>
开启浏览器访问此php,phpinfo信息正常显示的,如图
当我们将phpinfo函数disable掉之后,效果又是怎样的呢?
如图:
重新启动Apache使该设置生效,然后,通过浏览器重新访问phpinfo.php文件,如图:
看到了吗:Warning: phpinfo() has been disabled for security reasons in D:\PHP\wamp64\www\PHP\test\phpinfo.php on line 3
说明我们已经将phpinfo函数成功禁用了,这样,或许系统就会更加的安全了。
下面介绍下建议禁用的函数:
phpinfo()
功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。
危险等级:中
passthru()
功能描述:允许执行一个外部程序并回显输出,类似于 exec()。
危险等级:高
exec()
功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。
危险等级:高
system()
功能描述:允许执行一个外部程序并回显输出,类似于 passthru()。
危险等级:高
chroot()
功能描述:可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式时,PHP 时才能工作,且该函数不适用于 Windows 系统。
危险等级:高
scandir()
功能描述:列出指定路径中的文件和目录。
危险等级:中
chgrp()
功能描述:改变文件或目录所属的用户组。
危险等级:高
chown()
功能描述:改变文件或目录的所有者。
危险等级:高
shell_exec()
功能描述:通过 Shell 执行命令,并将执行结果作为字符串返回。
危险等级:高
proc_open()
功能描述:执行一个命令并打开文件指针用于读取以及写入。
危险等级:高
proc_get_status()
功能描述:获取使用 proc_open() 所打开进程的信息。
危险等级:高
error_log()
功能描述:将错误信息发送到指定位置(文件)。
安全备注:在某些版本的 PHP 中,可使用 error_log() 绕过 PHP safe mode, 执行任意命令。
危险等级:低
ini_alter()
功能描述:是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同。
具体参见 ini_set()。
危险等级:高
ini_set()
功能描述:可用于修改、设置 PHP 环境配置参数。
危险等级:高
ini_restore()
功能描述:可用于恢复 PHP 环境配置参数到其初始值。
危险等级:高
dl()
功能描述:在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块。
危险等级:高
pfsockopen()
功能描述:建立一个 Internet 或 UNIX 域的 socket 持久连接。
危险等级:高
syslog()
功能描述:可调用 UNIX 系统的系统层 syslog() 函数。
危险等级:中
readlink()
功能描述:返回符号连接指向的目标文件内容。
危险等级:中
symlink()
功能描述:在 UNIX 系统中建立一个符号链接。
危险等级:高
popen()
功能描述:可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。
危险等级:高
stream_socket_server()
功能描述:建立一个 Internet 或 UNIX 服务器连接。
危险等级:中
putenv()
功能描述:用于在 PHP 运行时改变系统字符集环境。在低于 5.2.6 版本的 PHP 中,可利用该函数
修改系统字符集环境后,利用 sendmail 指令发送特殊参数执行系统 SHELL 命令。
危险等级:高
PHP危险函数被禁止怎么绕过,PHP危险函数(disable_functions)设置相关推荐
- 虚拟网站禁用php,虚拟主机配置,建议禁止php函数列表,禁用不安全的PHP函数
禁用不安全的PHP函数,有些php函数是不够安全的,我们必须要加强安全配置,如果做虚拟主机,建议禁止php函数列表如下: disable_functions = system,exec,shell_e ...
- c语言回调函数_C语言学习第26篇---函数与指针分析 回调函数
函数类型的概念 1.C语言函数也是有类型的 2.函数类型由函数返回值,参数类型,参数个数共同决定 int add(int i,int j) 的类型是 int(int , int) 3.C语言中通过ty ...
- php的一些不安全函数,php中可能会产生安全问题一些函数
php中可能会产生安全问题的一些函数 本文章适合正在学习代码审计的朋友,或者准备学习安全的朋友,大佬就可以绕过了,写的比较基础.我也是一个小白,总结一下对于php函数的理解,也分享一些自己觉得好用的方 ...
- hog函数的用法 python_Python常见内置函数用法(三)
本文作者:孙雪丽 文字编辑:周聪聪 技术总编:张学人 重大通知!!!2019年6月22日至24日在河南郑州举行Stata编程技术特别训练营,招生工作已经圆满结束.另外爬虫俱乐部将于2019年7月5日至 ...
- c++中的fork函数_linux c语言 fork() 和 exec 函数的简介和用法
linux c语言 fork() 和 exec 函数的简介和用法 假如我们在编写1个c程序时想调用1个shell脚本或者执行1段 bash shell命令, 应该如何实现呢? 其实在<stdli ...
- c语言在函数中返回数组,关于C语言函数返回数组的问题
关于C语言函数返回一个数组 c语言中函数不能直接返回一个数组,但是可以用其他方式实现类似功能,不过需要注意: 1.该数组不能是返回函数的局部变量数组,因为局部变量数组在退出函数后会被释放. 可以是全局 ...
- Sql Server函数全解(四)日期和时间函数
阅读目录 1.获取系统当前日期的函数getDate(); 2.返回UTC日期的函数UTCDATE() 3.获取天数的函数DAY(d) 4.获取月份的函数MONTH(d) 5.获取年份的函数YEAR(d ...
- 求介绍matlab函数用法的书,MATLAB初学者教程--函数用法的简单介绍
1.4 函数用法的简单介绍 1.4.1什么是函数 似乎很多人一听到函数这个词就会想到数学中的某个概念,然后对于恐惧数学的同学就开始打退堂鼓.在matlab当中到处可以用到函数,它的出现可以让我们用很简 ...
- Seaborn使用set_context函数调整绘图标签和线条的大小、设置不同的模式、例如notebook模式、PPT模式、海报模式等、set_context函数可以指定绘图上下文并自动调整标签和线条
Seaborn使用set_context函数调整绘图标签和线条的大小.设置不同的模式.例如notebook模式.PPT模式.海报模式等.set_context函数可以指定绘图上下文并自动调整标签和线条 ...
最新文章
- 东大漆桂林、清华李涓子、复旦肖仰华等大牛确认出席CTA峰会!5月一起打卡杭州...
- 连接mysql次数_matlab2020b通过JDBC连接mysql8.0.22
- php未正确拼写字 css,前端Bug解决方案
- 词频统计预处理之综合练习
- Java基础夺命连环16问
- 半正定问题与二阶凸锥问题(SDPSOCP)
- 想要把日志在两个blog同步太过麻烦了
- Introduction to SQL Server 2005 XML
- 知识图谱组队学习Task04——知识库的查询语句
- 20191228_Python语言课程设计
- WinPmem:跨平台内存采集工具
- 小米八显示无服务器,二修小米8无服务案例
- edius隐藏快捷键_超级实用的edius常用快捷键
- 基于EEMD和樽海鞘算法优化SVM的滚动轴承故障诊断python
- SketchUp2019下载SketchUp2019下载安装详细教程SU2019草图大师
- 未来人类笔记本 T5 67SH2 扩展内存条
- 数据库课程设计-NBA球队信息管理系统
- android和电脑共享文件,安卓手机怎么访问电脑共享文件
- 收不到oracle注册邮件或无法登录
- 基于Tensorflow深度学习的ECG身份识别方法(二)