Was sind die gefährlichen Funktionen in PHP?

Wenn beim Kompilieren von PHP kein besonderer Bedarf besteht, muss das Kompilieren und Generieren der PHP-Analyseunterstützung im CLI-Befehlszeilenmodus verboten werden. Kann mit --disable-CLI kompiliert werden. Sobald PHP im CLI-Modus kompiliert und generiert ist, kann das Programm von Eindringlingen verwendet werden, um einen WEB-Shell-Backdoor-Prozess einzurichten oder beliebigen Code über PHP auszuführen.

1. phpinfo()

Funktionsbeschreibung: PHP-Umgebungsinformationen und zugehörige Module, WEB-Umgebung und andere Informationen ausgeben.

Gefahrenstufe: Mittel

2. passhru()

Funktionsbeschreibung: Ermöglicht die Ausführung eines externen Programms und das Echo der Ausgabe, ähnlich wie exec().

Gefahrenstufe: Hoch

3. exec()

Funktionsbeschreibung: Ermöglicht die Ausführung eines externen Programms (z. B. UNIX-Shell oder CMD-Befehl usw.).

Gefahrenstufe: Hoch

4. system()

Funktionsbeschreibung: Ermöglicht die Ausführung eines externen Programms und das Echo der Ausgabe, ähnlich wie passhru().

Gefahrenstufe: Hoch

5. chroot()

Funktionsbeschreibung: Es kann das Arbeitsstammverzeichnis des aktuellen PHP-Prozesses ändern unterstützt den CLI-Modus PHP und diese Funktion ist nicht auf Windows-Systeme anwendbar.

Gefahrenstufe: Hoch

6. scandir()

Funktionsbeschreibung: Listen Sie die Dateien und Verzeichnisse im angegebenen Pfad auf.

Gefahrenstufe: Mittel

7. chgrp()

Funktionsbeschreibung: Ändern Sie die Benutzergruppe, zu der eine Datei oder ein Verzeichnis gehört.

Gefahrenstufe: Hoch

8. chown()

Funktionsbeschreibung: Ändern Sie den Eigentümer der Datei oder des Verzeichnisses.

Gefahrenstufe: Hoch

9. shell_exec()

Funktionsbeschreibung: Führen Sie den Befehl über die Shell aus und geben Sie das Ausführungsergebnis als Zeichenfolge zurück.

Gefahrenstufe: Hoch

10. proc_open()

Funktionsbeschreibung: Einen Befehl ausführen und den Dateizeiger zum Lesen und Schreiben öffnen.

Gefahrenstufe: Hoch

11. proc_get_status()

Funktionsbeschreibung: Informationen über den mit proc_open() geöffneten Prozess abrufen.

Gefahrenstufe: Hoch

12. error_log()

Funktionsbeschreibung: Fehlerinformationen an den angegebenen Speicherort (Datei) senden.

Sicherheitshinweis: In einigen PHP-Versionen kann error_log() verwendet werden, um den abgesicherten PHP-Modus zu umgehen und

beliebige Befehle auszuführen.

Gefahrenstufe: niedrig

13. ini_alter()

Funktionsbeschreibung: Es ist eine Alias-Funktion der Funktion ini_set() und hat die gleiche Funktion wie ini_set(). . Weitere Informationen finden Sie unter ini_set().

Gefahrenstufe: Hoch

14. ini_set()

Funktionsbeschreibung: Kann zum Ändern und Festlegen von PHP-Umgebungskonfigurationsparametern verwendet werden.

Gefahrenstufe: Hoch

15. ini_restore()

Funktionsbeschreibung: Kann verwendet werden, um PHP-Umgebungskonfigurationsparameter auf ihre Anfangswerte zurückzusetzen.

Gefahrenstufe: Hoch

16. dl()

Funktionsbeschreibung: Laden eines externen PHP-Moduls, während PHP läuft (nicht beim Start).

Gefahrenstufe: Hoch

17. pfsockopen()

Funktionsbeschreibung: Stellen Sie eine Socket-persistente Verbindung im Internet oder in der UNIX-Domäne her.

Gefahrenstufe: Hoch

18. syslog()

Funktionsbeschreibung: Die Systemebenenfunktion syslog() des UNIX-Systems kann aufgerufen werden.

Gefahrenstufe: Mittel

19. readlink()

Funktionsbeschreibung: Gibt den Inhalt der Zieldatei zurück, auf die der symbolische Link verweist.

Gefahrenstufe: Mittel

20. symlink()

Funktionsbeschreibung: Stellen Sie eine symbolische Verknüpfung im UNIX-System her.

Gefahrenstufe: Hoch

21. popen()

Funktionsbeschreibung: Ein Befehl kann über die Parameter von popen() übergeben und die Datei durch popen() geöffnet werden. ausführen.

Gefahrenstufe: Hoch

22. stream_socket_server()

Funktionsbeschreibung: Stellen Sie eine Internet- oder UNIX-Serververbindung her.

Gefahrenstufe: Mittel

23. putenv()

Funktionsbeschreibung: Wird verwendet, um die Systemzeichensatzumgebung zu ändern, wenn PHP ausgeführt wird. In PHP-Versionen vor 5, 2 und 6 können Sie diese Funktion verwenden, um die Systemzeichensatzumgebung zu ändern, und dann den Befehl sendmail verwenden, um spezielle Parameter zu senden, um den System-SHELL-Befehl auszuführen.

Gefahrenstufe: Hoch

Empfohlenes Tutorial: „PHP“

Das obige ist der detaillierte Inhalt vonWas sind die gefährlichen Funktionen in PHP?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!