正在编译 PHP 时,如无非凡需求,肯定制止编译天生 CLI 饬令行模式的 PHP 解析支持。可正在编译时应用 –disable-CLI。一旦编译天生 CLI 模式的PHP,则可能会被入侵者行使该顺序建设一个WEB Shell 后门过程或经过PHP 执行恣意代码。
一、phpinfo()
性能形容:输入 PHP 环境信息和相干的模块、WEB 环境等信息。
风险等级:中
二、passthru()
性能形容:容许执行一个内部顺序并回显输入,相似于 exec()。
风险等级:高
三、exec()
性能形容:容许执行一个内部顺序(如 UNIX Shell 或 CMD 饬令等)。
风险等级:高
四、system()
性能形容:容许执行一个内部顺序并回显输入,相似于 passthru()。
风险等级:高
五、chroot()
性能形容:可扭转以后 PHP 过程的工作根目次,仅当零碎支持 CLI 模式PHP 时能力工作,且该函数没有实用于 Windows 零碎。
风险等级:高
六、scandir()
性能形容:列出指定门路中的文件以及目次。
风险等级:中
七、chgrp()
性能形容:扭转文件或目次所属的用户组。
风险等级:高
八、chown()
性能形容:扭转文件或目次的一切者。
风险等级:高
九、shell_exec()
性能形容:经过 Shell 执行饬令,并将执行后果作为字符串前往。
风险等级:高
十、proc_open()
性能形容:执行一个饬令并关上文件指针用于读取和写入。
风险等级:高
十一、proc_get_status()
性能形容:猎取应用 proc_open() 所关上过程的信息。
风险等级:高
十二、error_log()
性能形容:将谬误信息发送到指定地位(文件)。
平安备注:正在某些版本的 PHP 中,可以使用 error_log() 绕过 PHP safe mode,
执行恣意饬令。
风险等级:低
1三、ini_alter()
性能形容:是 ini_set() 函数的一个体名函数,性能与 ini_set() 相反。详细参见 ini_set()。
风险等级:高
1四、ini_set()
性能形容:可用于修正、设置 PHP 环境设置装备摆设参数。
风险等级:高
1五、ini_restore()
性能形容:可用于规复 PHP 环境设置装备摆设参数到其初始值。
风险等级:高
1六、dl()
性能形容:正在 PHP 进交运行进程傍边(而非启动时)加载一个 PHP 内部模块。
风险等级:高
1七、pfsockopen()
性能形容:建设一个 Internet 或 UNIX 域的 socket 耐久衔接。
风险等级:高
1八、syslog()
性能形容:可挪用 UNIX 零碎的零碎层 syslog() 函数。
风险等级:中
1九、readlink()
性能形容:前往符号衔接指向的指标文件内容。
风险等级:中
20、symlink()
性能形容:正在 UNIX 零碎中建设一个符号链接。
风险等级:高
2一、popen()
性能形容:可经过 popen() 的参数通报一条饬令,并对 popen() 所关上的文件进行执行。
风险等级:高
2二、stream_socket_server()
性能形容:建设一个 Internet 或 UNIX 效劳器衔接。
风险等级:中
2三、putenv()
性能形容:用于正在 PHP 运转时扭转零碎字符集环境。正在低于 五、二、6 版本的 PHP 中,可行使该函数修正零碎字符集环境后,行使 sendmail 指令发送非凡参数执行零碎 SHELL 饬令。
风险等级:高
保举教程:《PHP》
以上就是PHP 风险函数有哪些?的具体内容,更多请存眷资源魔其它相干文章!
抱歉,评论功能暂时关闭!