hi,欢迎访问本站!
当前位置: 首页编程开发正文

推荐一些php中需要禁止的函数

墨初 编程开发 468阅读

下面的博文中列出一些php脚本中推荐禁用的函数,以提高php的安全性。

php中禁用函数推荐

1、php phpinfo() 函数

危险等级:中级

phpinfo():可以输出php的环境信息以及安装的模块信息,此信息可以会暴露一些安全性的信息被黑客利用。

2、php passthru()

危险等级:高级

passthru():允许执行一个外部程序并回显输出,类似于 exec()。

3、php exec()

危险等级:高级

exec():允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。

4、php system()

危险等级:高级

system():允许执行一个外部程序并回显输出,类似于 passthru()。

5、php chroot()

危险等级:高级

chroot():可改变当前PHP进程的工作根目录,仅当系统支持CLI模式PHP时才能工作,且该函数不适用于 Windows 系统。

6。php scandir()

危险等级:中级

scandir():列出指定路径中的文件和目录。

7、php chgrp()

危险等级:高级

chgrp():改变文件或目录所属的用户组。

8、php chown()

危险等级:高级

chown():改变文件或目录的所有者。

10、php shell_exec()

危险等级:高级

shell_exec():通过 Shell 执行命令,并将执行结果作为字符串返回。

11、php proc_open()

危险等级:高级

proc_open():执行一个命令并打开文件指针用于读取以及写入。

12、php proc_get_status()

危险等级:高级

proc_get_status():获取使用 proc_open() 所打开进程的信息。

13、error_log()

危险等级:低级

error_log():将错误信息发送到指定位置(文件)。

注意:在某些版本的 PHP 中,可使用 error_log() 绕过 PHP safe mode,

14、ini_restore()

危险等级:低级

ini_restore():可用于恢复 PHP 环境配置参数到其初始值。

15、dl()

危险等级:产级

dl():在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块。

16、pfsockopen()

危险等级:高级

pfsockopen():建立一个 Internet 或 UNIX 域的 socket 持久连接。

17、syslog()

危险等级:中级

syslog():可调用 UNIX 系统的系统层 syslog() 函数。

18、readlink()

危险等级:中级

readlink():返回符号连接指向的目标文件内容。

19、symlink()

危险等级:中级

symlink():在 UNIX 系统中建立一个符号链接。

20、popen()

危险等级:高级

popen():可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。

21、stream_socket_server()

危险等级:中级

stream_socket_server():建立一个 Internet 或 UNIX 服务器连接。

22、putenv()

危险等级:高级

putenv():用于在PHP运行时改变系统字符集环境。

以上就是php配置中推荐禁止的几个函数,各位可以根据自己网站的需要进行设置。

标签:
声明:无特别说明,转载请标明本文来源!
相关推荐