PHP中的风险函数全解析
在编译 PHP 时,如无不凡须要,必定制止编译生成 CLI 命令行形式的 PHP 解析支持。可在编译时经常使用 –disable-CLI。一旦编译生成 CLI 形式的PHP,则或者会被入侵者应用该程序建设一个WEB Shell 后门进程或经过PHP 口头恣意代码。
性能形容:输入 PHP 环境消息以及关系的模块、WEB 环境等消息。
风险等级:中
passthru()
性能形容:准许口头一个外部程序并回显输入,相似于 exec()。
风险等级:高
性能形容:准许口头一个外部程序(如 UNIX Shell 或 CMD 命令等)。
风险等级:高
性能形容:准许口头一个外部程序并回显输入,相似于 passthru()。
风险等级:高
性能形容:可扭转 PHP 进程的上班根目录,仅当系统支持 CLI 形式PHP 时能力上班,且该函数不适用于 Windows 系统。
风险等级:高
性能形容:列出指定门路中的文件和目录。
风险等级:中
性能形容:扭转文件或目录所属的用户组。
风险等级:高
性能形容:扭转文件或目录的一切者。
风险等级:高
shell_exec()
性能形容:经过 Shell 口头命令,并将口头结果作为字符串前往。
风险等级:高
proc_open()
性能形容:口头一个命令并关上文件指针用于读取以及写入。
风险等级:高
proc_get_status()
性能形容:失掉经常使用 proc_open() 所关上进程的消息。
风险等级:高
error_log()
性能形容:将失误消息发送到指定位置(文件)。
安保备注:在某些版本的 PHP 中,可经常使用 error_log() 绕过 PHP safe mode,口头恣意命令。
风险等级:低
ini_alter()
性能形容:是 ini_set() 函数的一一般名函数,性能与 ini_set() 相反。详细参见 ini_set()。
风险等级:高
性能形容:可用于修正、设置 PHP 环境性能参数。
风险等级:高
ini_restore()
性能形容:可用于复原 PHP 环境性能参数到其初始值。
风险等级:高
性能形容:在 PHP 启动运转环节当中(而非启动时)加载一个 PHP 外部模块。
风险等级:高
pfsockopen()
性能形容:建设一个 Internet 或 UNIX 域的 socket 耐久衔接。
风险等级:高
性能形容:可调用 UNIX 系统的系统层 syslog() 函数。
风险等级:中
readlink()
性能形容:前往符号衔接指向的指标文件内容。
风险等级:中
性能形容:在 UNIX 系统中建设一个符号链接。
风险等级:高
性能形容:可经过 popen() 的参数传递一条命令,并对 popen() 所关上的文件启动口头。
风险等级:高
stream_socket_server()
性能形容:建设一个 Internet 或 UNIX 主机衔接。
风险等级:中
性能形容:用于在 PHP 运转时扭转系统字符集环境。在低于 5.2.6 版本的 PHP 中,可应用该函数修正系统字符集环境后,应用 sendmail 指令发送不凡参数口头系统 SHELL 命令。
风险等级:高
【编辑介绍】