php 危险函数_PHP 危险函数有哪些?
在编译 PHP 时,如无特殊需要,一定禁止编译生成 CLI 命令行模式的 PHP 解析支持。可在编译时使用 –disable-CLI。一旦编译生成 CLI 模式的PHP,则可能会被入侵者利用该程序建立一个WEB Shell 后门进程或通过PHP 执行任意代码。
1、phpinfo()
功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。
危险等级:中
2、passthru()
功能描述:允许执行一个外部程序并回显输出,类似于 exec()。
危险等级:高
3、exec()
功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。
危险等级:高
4、system()
功能描述:允许执行一个外部程序并回显输出,类似于 passthru()。
危险等级:高
5、chroot()
功能描述:可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式PHP 时才能工作,且该函数不适用于 Windows 系统。
危险等级:高
6、scandir()
功能描述:列出指定路径中的文件和目录。
危险等级:中
7、chgrp()
功能描述:改变文件或目录所属的用户组。
危险等级:高
8、chown()
功能描述:改变文件或目录的所有者。
危险等级:高
9、shell_exec()
功能描述:通过 Shell 执行命令,并将执行结果作为字符串返回。
危险等级:高
10、proc_open()
功能描述:执行一个命令并打开文件指针用于读取以及写入。
危险等级:高
11、proc_get_status()
功能描述:获取使用 proc_open() 所打开进程的信息。
危险等级:高
12、error_log()
功能描述:将错误信息发送到指定位置(文件)。
安全备注:在某些版本的 PHP 中,可使用 error_log() 绕过 PHP safe mode,
执行任意命令。
危险等级:低
13、ini_alter()
功能描述:是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同。具体参见 ini_set()。
危险等级:高
14、ini_set()
功能描述:可用于修改、设置 PHP 环境配置参数。
危险等级:高
15、ini_restore()
功能描述:可用于恢复 PHP 环境配置参数到其初始值。
危险等级:高
16、dl()
功能描述:在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块。
危险等级:高
17、pfsockopen()
功能描述:建立一个 Internet 或 UNIX 域的 socket 持久连接。
危险等级:高
18、syslog()
功能描述:可调用 UNIX 系统的系统层 syslog() 函数。
危险等级:中
19、readlink()
功能描述:返回符号连接指向的目标文件内容。
危险等级:中
20、symlink()
功能描述:在 UNIX 系统中建立一个符号链接。
危险等级:高
21、popen()
功能描述:可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。
危险等级:高
22、stream_socket_server()
功能描述:建立一个 Internet 或 UNIX 服务器连接。
危险等级:中
23、putenv()
功能描述:用于在 PHP 运行时改变系统字符集环境。在低于 5、2、6 版本的 PHP 中,可利用该函数修改系统字符集环境后,利用 sendmail 指令发送特殊参数执行系统 SHELL 命令。
危险等级:高
推荐教程:《PHP》
php 危险函数_PHP 危险函数有哪些?相关推荐
- java回调函数_PHP回调函数及匿名函数概念与用法详解
1.回调函数 PHP的回调函数其实和C.Java等语言的回调函数的作用是一模一样的,都是在主线程执行的过程中,突然跳去执行设置的回调函数: 回调函数执行完毕之后,再回到主线程处理接下来的流程 而在ph ...
- mysql_assoc函数_PHP:MySQL函数mysql_fetch_assoc()的用法
mysql_fetch_assoc (PHP 4 >= 4.0.3, PHP 5) mysql_fetch_assoc - 从结果集中取得一行作为关联数组 Warning 本扩展自 PHP 5. ...
- php rename函数_php rename函数怎么用
PHP rename()函数用于重命名文件或目录,语法"rename(文件旧名称,新名称,句柄环境)",使用用户指定的新名称更改文件或目录的旧名称,并且可以根据需要在目录之间移动: ...
- php rename函数_PHP rename函数使用详解(php重命名文件)
PHP中的rename()函数是一个内置函数,用于重命名文件或目录.它尝试用用户指定的新名称更改文件或目录的旧名称,并且在必要时可以在目录之间移动. 如果用户指定的新名称已经存在,rename()函数 ...
- mysql addslashes()函数_PHP addslashes 函数
一.函数功能: 数据库查询语句的要求,在单引号(').双引号(").反斜线(\)与 NUL(NULL 字符) 等特殊字符前添加反斜杠.它是stripslashes()函数的反向操作函数. 二 ...
- mysql rollback函数_PHP mysqli_rollback() 函数_程序员人生
实例 关闭自动提交,做一些查询,提交查询,然后回滚当前事务: $con=mysqli_connect("localhost","my_user","m ...
- php mail函数_php 发送邮件函数
/** * 记录数据 */ function runlog($mode = 'SMTP',$b = '',$c = '',$d='') { } /** * 发送邮件 * @param $toemail ...
- php函数表达式,正规表达式函数_php
php与其它跨平台语言(也许java不在其列. :))类似,也有正规表达式功能. PHP3.0的正规表达式功能当然远远比不上Perl,但还是足够用的,主要函数有这么些: (1)ereg,eregi 这 ...
- php自定义中文分词方法,一个用PHP写的中文分词函数_php
class Segmentation { var $options = array('lowercase' => TRUE, 'segment_english' => FALSE); va ...
最新文章
- lvs调整hash表大小
- DL之DNN优化技术:利用Dropout(简介、使用、应用)优化方法提高DNN模型的性能
- 区块链BaaS云服务(18)华为 BCS“跨链”
- 2021暑假实习-SSM超市积分管理系统-day09笔记
- sqlite3数据库教程
- 从自己实现Ruby单例模式揭秘Ruby模块内幕
- 268G+训练好的word2vec模型(中文词向量)
- linux纯内核直接用吗,Linux:为啥内核有的变量没有初始化就敢直接使用?
- Windows环境下的Oracle数据库备份策略
- python创建树结构、求深度_Python实现二叉树的最小深度的两种方法
- Oracle中备用查询语句
- 全国java二级考试范围,全国计算机二级Java考试大纲
- 原来我也可以写Android小游戏
- MFC CImageList序列图的用法
- compositionAPI
- 理解offset in Python
- 在react脚手架中使用Tailwind CSS (入门)
- win10硬盘锁怎么解除_电脑磁盘加密了怎么解密_win10如何关闭硬盘加密
- 工业控制系统协议相关的安全问题
- 价格数字转换成大写汉字的一个类
热门文章
- mysql2阶段提交具体实现_Mysql两阶段提交
- c语言动态分配内存及内存分配部分函数
- 正斜杠和反斜杠的使用场景
- java List元素删除的正确方式
- Eclipse和MyEclipse简介
- 生物化学“糖代谢”教学中的PBL教学模式
- 扎克伯格一句道歉价值1300亿!
- 惠普服务器拆箱安装系统,惠普Pro X576dw MFP拆箱安装_HP X576dw_办公打印评测试用-中关村在线...
- Android图文列表实现(ListView)
- 软件工程(Software Engineering)有哪些SCI期刊推荐? - 易智编译EaseEditing