Heim > Artikel > Backend-Entwicklung > Was sind die gefährlichen Funktionen in PHP?
Wenn beim Kompilieren von PHP kein besonderer Bedarf besteht, muss das Kompilieren und Generieren der PHP-Analyseunterstützung im CLI-Befehlszeilenmodus verboten werden. Kann mit --disable-CLI kompiliert werden. Sobald PHP im CLI-Modus kompiliert und generiert ist, kann das Programm von Eindringlingen verwendet werden, um einen WEB-Shell-Backdoor-Prozess einzurichten oder beliebigen Code über PHP auszuführen.
1. phpinfo()
Funktionsbeschreibung: PHP-Umgebungsinformationen und zugehörige Module, WEB-Umgebung und andere Informationen ausgeben.
Gefahrenstufe: Mittel
2. passhru()
Funktionsbeschreibung: Ermöglicht die Ausführung eines externen Programms und das Echo der Ausgabe, ähnlich wie exec().
Gefahrenstufe: Hoch
3. exec()
Funktionsbeschreibung: Ermöglicht die Ausführung eines externen Programms (z. B. UNIX-Shell oder CMD-Befehl usw.).
Gefahrenstufe: Hoch
4. system()
Funktionsbeschreibung: Ermöglicht die Ausführung eines externen Programms und das Echo der Ausgabe, ähnlich wie passhru().
Gefahrenstufe: Hoch
5. chroot()
Funktionsbeschreibung: Es kann das Arbeitsstammverzeichnis des aktuellen PHP-Prozesses ändern unterstützt den CLI-Modus PHP und diese Funktion ist nicht auf Windows-Systeme anwendbar.
Gefahrenstufe: Hoch
6. scandir()
Funktionsbeschreibung: Listen Sie die Dateien und Verzeichnisse im angegebenen Pfad auf.
Gefahrenstufe: Mittel
7. chgrp()
Funktionsbeschreibung: Ändern Sie die Benutzergruppe, zu der eine Datei oder ein Verzeichnis gehört.
Gefahrenstufe: Hoch
8. chown()
Funktionsbeschreibung: Ändern Sie den Eigentümer der Datei oder des Verzeichnisses.
Gefahrenstufe: Hoch
9. shell_exec()
Funktionsbeschreibung: Führen Sie den Befehl über die Shell aus und geben Sie das Ausführungsergebnis als Zeichenfolge zurück.
Gefahrenstufe: Hoch
10. proc_open()
Funktionsbeschreibung: Einen Befehl ausführen und den Dateizeiger zum Lesen und Schreiben öffnen.
Gefahrenstufe: Hoch
11. proc_get_status()
Funktionsbeschreibung: Informationen über den mit proc_open() geöffneten Prozess abrufen.
Gefahrenstufe: Hoch
12. error_log()
Funktionsbeschreibung: Fehlerinformationen an den angegebenen Speicherort (Datei) senden.
Sicherheitshinweis: In einigen PHP-Versionen kann error_log() verwendet werden, um den abgesicherten PHP-Modus zu umgehen und
beliebige Befehle auszuführen.
Gefahrenstufe: niedrig
13. ini_alter()
Funktionsbeschreibung: Es ist eine Alias-Funktion der Funktion ini_set() und hat die gleiche Funktion wie ini_set(). . Weitere Informationen finden Sie unter ini_set().
Gefahrenstufe: Hoch
14. ini_set()
Funktionsbeschreibung: Kann zum Ändern und Festlegen von PHP-Umgebungskonfigurationsparametern verwendet werden.
Gefahrenstufe: Hoch
15. ini_restore()
Funktionsbeschreibung: Kann verwendet werden, um PHP-Umgebungskonfigurationsparameter auf ihre Anfangswerte zurückzusetzen.
Gefahrenstufe: Hoch
16. dl()
Funktionsbeschreibung: Laden eines externen PHP-Moduls, während PHP läuft (nicht beim Start).
Gefahrenstufe: Hoch
17. pfsockopen()
Funktionsbeschreibung: Stellen Sie eine Socket-persistente Verbindung im Internet oder in der UNIX-Domäne her.
Gefahrenstufe: Hoch
18. syslog()
Funktionsbeschreibung: Die Systemebenenfunktion syslog() des UNIX-Systems kann aufgerufen werden.
Gefahrenstufe: Mittel
19. readlink()
Funktionsbeschreibung: Gibt den Inhalt der Zieldatei zurück, auf die der symbolische Link verweist.
Gefahrenstufe: Mittel
20. symlink()
Funktionsbeschreibung: Stellen Sie eine symbolische Verknüpfung im UNIX-System her.
Gefahrenstufe: Hoch
21. popen()
Funktionsbeschreibung: Ein Befehl kann über die Parameter von popen() übergeben und die Datei durch popen() geöffnet werden. ausführen.
Gefahrenstufe: Hoch
22. stream_socket_server()
Funktionsbeschreibung: Stellen Sie eine Internet- oder UNIX-Serververbindung her.
Gefahrenstufe: Mittel
23. putenv()
Funktionsbeschreibung: Wird verwendet, um die Systemzeichensatzumgebung zu ändern, wenn PHP ausgeführt wird. In PHP-Versionen vor 5, 2 und 6 können Sie diese Funktion verwenden, um die Systemzeichensatzumgebung zu ändern, und dann den Befehl sendmail verwenden, um spezielle Parameter zu senden, um den System-SHELL-Befehl auszuführen.
Gefahrenstufe: Hoch
Empfohlenes Tutorial: „PHP“
Das obige ist der detaillierte Inhalt vonWas sind die gefährlichen Funktionen in PHP?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!