php 的 危 险 参 数

hpinfo()

功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。

危险等级:中

passthru()

功能描述:允许执行一个外部程序并回显输出,类似于 exec()。

危险等级:高

exec()

功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。

危险等级:高

system()

功能描述:允许执行一个外部程序并回显输出,类似于 passthru()。

危险等级:高

chroot()

功能描述:可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式

PHP 时才能工作,且该函数不适用于 Windows 系统。

危险等级:高

scandir()

功能描述:列出指定路径中的文件和目录。

危险等级:中

chgrp()

功能描述:改变文件或目录所属的用户组。

危险等级:高

chown()

功能描述:改变文件或目录的所有者。

危险等级:高

shell_exec()

功能描述:通过 Shell 执行命令,并将执行结果作为字符串返回。

危险等级:高

proc_open()

功能描述:执行一个命令并打开文件指针用于读取以及写入。

危险等级:高

proc_get_status()

功能描述:获取使用 proc_open() 所打开进程的信息。

危险等级:高

error_log()

功能描述:将错误信息发送到指定位置(文件)。

安全备注:在某些版本的 PHP 中,可使用 error_log() 绕过 PHP safe mode,

执行任意命令。

危险等级:低

ini_alter()

功能描述:是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同。

具体参见 ini_set()。

危险等级:高

ini_set()

功能描述:可用于修改、设置 PHP 环境配置参数。

危险等级:高

ini_restore()

功能描述:可用于恢复 PHP 环境配置参数到其初始值。

危险等级:高

dl()

功能描述:在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块。

危险等级:高

pfsockopen()

功能描述:建立一个 Internet 或 UNIX 域的 socket 持久连接。

危险等级:高

syslog()

功能描述:可调用 UNIX 系统的系统层 syslog() 函数。

危险等级:中

readlink()

功能描述:返回符号连接指向的目标文件内容。

危险等级:中

symlink()

功能描述:在 UNIX 系统中建立一个符号链接。

危险等级:高

popen()

功能描述:可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。

危险等级:高

stream_socket_server()

功能描述:建立一个 Internet 或 UNIX 服务器连接。

危险等级:中

putenv()

功能描述:用于在 PHP 运行时改变系统字符集环境。在低于 5.2.6 版本的 PHP 中,可利用该函数

修改系统字符集环境后,利用 sendmail 指令发送特殊参数执行系统 SHELL 命令。

危险等级:高

禁用方法如下:

打开/etc/php.ini文件,

查找到 disable_functions ,添加需禁用的函数名,如下:

phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen

时间: 2024-09-30 12:43:33

php 的 危 险 参 数的相关文章

F?l?a?s?h? ?M?e?d?i?a? ?L?i?v?e? ?E?n?c?o?d?e?r?参?数?表

Flash Media Live Encoder命令行推流Flash Media Live Encoder NotesFlash Media Live Encoder 除了直接以 GUI 方式操作之外还能透过 Command Line 呼叫 FMLECmd 方式控制以下则是简单的笔记 大部分 FMLECmd 操作都是需要一个 fmle_uid 参数的fmle_uid 用来表示一个 encoding session fmle_uid 格式定义假如是 rtmp streamingfmle_uid =

addEventListener中的第三个参 数

addEventListener中的第三个参 数是useCapture, 一个bool类型.当为false时为冒泡获取(由里向外),true为为捕获 capture方式(由外向里). function addEvent(obj,sEv,fn){ if(obj.addEventListener){ obj.addEventListner(sEv,fn,false); }else{ obj.attatchEvent('on'+sEv,fn); } } <!doctype html> <htm

Javascript 的 arguments 参 数

arguments 参数是调用函数时传递给函数的所有显式参数的集合.它通过隐式的方式传递到函数内部. 这个arguments 对象是一个拥有长度和可以以索引的方式取单个的参数的类似于数组的集合,它并不是一个真正的数组,因为它无法调用数组的方法(sort等). 在JavaScript的非严格模式下,arguments 对象作为函数parameters的别名,修改arguments对象会引起对应的函数参数(function parameter)的值发生改变. 这就是说,如果修改arguments[0

3-23(还剩寥寥数日)

1springmvc工作原理 2什么是aop,aop的作用是什么 3如何优化Hibernate 4解释spring不同方式的自动装配 5为什么在Hibernate的实体类中要提供一个无参数的构造器这一点非常重要? 6和java web有关的中间件都有什么 7有了struts的mvc为什么还要spring的mvc 8下列哪种说法是正确的() A 实例方法可直接调用超类的实例方法 B 实例方法可直接调用超类的类方法 C 实例方法可直接调用其他类的实例方法 D 实例方法可直接调用本类的类方法 9有哪些

十进制的数转换成十六进制的数 (转)

#include<stdlib.h> #include<string.h> #include<stdio.h> /* * 方 法: decimal2Hex * 功 能:十进制的数转换成十六进制的数 * 参 数:int num : 十进制的数 * 返回值:char * : 十六进制的字符 */ char * decimal2Hex(int num){ int a[100]; int i=0; int m=0; int yushu; char hex[16]={'0','1

mock和axios常见的传参方式

第一次接手项目,传参方式还有些吃力,因此做一下总结. 首先我们需要会看swagger中的接口.里面写了某个接口需要接收什么样的值,前端怎么传递这个值 在mock中的传参方式: mock中传参的方式有两个参数,一个是path对象,一个是data对象. path想当于拼接在url地址上的参数, data是url后面的参数. 1.get请求 如果url后面有opts的参数,则说明他需要传递参数.要不就不用传递了,直接写个url就好了,不用拼接参数.(请看下图) 图一是接口 图二是调用了这个接口. 这个

android: 文件存储

数据持久化就是指将那些内存中的瞬时数据保存到存储设备中,保证即使在手机或电脑 关机的情况下,这些数据仍然不会丢失.保存在内存中的数据是处于瞬时状态的,而保存在 存储设备中的数据是处于持久状态的,持久化技术则是提供了一种机制可以让数据在瞬时状 态和持久状态之间进行转换. 持久化技术被广泛应用于各种程序设计的领域当中,而本书中要探讨的自然是 Android 中的数据持久化技术.Android 系统中主要提供了三种方式用于简单地实现数据持久化功能, 即文件存储.SharedPreference 存储以

英语如何学习?

学习英语的有效途径和误区分析 前 言 著名语言学家Greg Thomson说的:“外语学习的原理是如此之复杂,以至于没有人能说清楚:但掌握语言的过程又是如此之简单,以至于不需要说清楚.”讨论语言学习的原 理,是件非常复杂的事,在下当然也没把握能描述得很清楚.而且因为外语学习就连学术界都存在很多尖锐的争论,本人也不敢说自己有把握能把争论化解.但还是 决定先从简单入手,做些抛砖引玉的工作吧,探讨一下外语学习的真谛,特别是对大家在外语学习上普遍存在的误解进行分析和澄清,希望能对外语学习者有所帮 助,对

英语:漏屋-英语学习的真实方法及误区分析(转)

前 言 著名语言学家Greg Thomson说的:“外语学习的原理是如此之复杂,以至于没有人能说清楚:但掌握语言的过程又是如此之简单,以至于不需要说清楚.”讨论语言学习的原 理,是件非常复杂的事,在下当然也没把握能描述得很清楚.而且因为外语学习就连学术界都存在很多尖锐的争论,本人也不敢说自己有把握能把争论化解.但还是 决定先从简单入手,做些抛砖引玉的工作吧,探讨一下外语学习的真谛,特别是对大家在外语学习上普遍存在的误解进行分析和澄清,希望能对外语学习者有所帮 助,对外语教学工作着有所启发,就知足