Heim  >  Artikel  >  Backend-Entwicklung  >  Was sind die gefährlichen Funktionen in PHP?

Was sind die gefährlichen Funktionen in PHP?

Guanhui
GuanhuiOriginal
2020-06-28 15:52:124578Durchsuche

Was sind die gefährlichen Funktionen in PHP?

Wenn beim Kompilieren von PHP kein besonderer Bedarf besteht, muss das Kompilieren und Generieren der PHP-Analyseunterstützung im CLI-Befehlszeilenmodus verboten werden. Kann mit --disable-CLI kompiliert werden. Sobald PHP im CLI-Modus kompiliert und generiert ist, kann das Programm von Eindringlingen verwendet werden, um einen WEB-Shell-Backdoor-Prozess einzurichten oder beliebigen Code über PHP auszuführen.

1. phpinfo()

Funktionsbeschreibung: PHP-Umgebungsinformationen und zugehörige Module, WEB-Umgebung und andere Informationen ausgeben.

Gefahrenstufe: Mittel

2. passhru()

Funktionsbeschreibung: Ermöglicht die Ausführung eines externen Programms und das Echo der Ausgabe, ähnlich wie exec().

Gefahrenstufe: Hoch

3. exec()

Funktionsbeschreibung: Ermöglicht die Ausführung eines externen Programms (z. B. UNIX-Shell oder CMD-Befehl usw.).

Gefahrenstufe: Hoch

4. system()

Funktionsbeschreibung: Ermöglicht die Ausführung eines externen Programms und das Echo der Ausgabe, ähnlich wie passhru().

Gefahrenstufe: Hoch

5. chroot()

Funktionsbeschreibung: Es kann das Arbeitsstammverzeichnis des aktuellen PHP-Prozesses ändern unterstützt den CLI-Modus PHP und diese Funktion ist nicht auf Windows-Systeme anwendbar.

Gefahrenstufe: Hoch

6. scandir()

Funktionsbeschreibung: Listen Sie die Dateien und Verzeichnisse im angegebenen Pfad auf.

Gefahrenstufe: Mittel

7. chgrp()

Funktionsbeschreibung: Ändern Sie die Benutzergruppe, zu der eine Datei oder ein Verzeichnis gehört.

Gefahrenstufe: Hoch

8. chown()

Funktionsbeschreibung: Ändern Sie den Eigentümer der Datei oder des Verzeichnisses.

Gefahrenstufe: Hoch

9. shell_exec()

Funktionsbeschreibung: Führen Sie den Befehl über die Shell aus und geben Sie das Ausführungsergebnis als Zeichenfolge zurück.

Gefahrenstufe: Hoch

10. proc_open()

Funktionsbeschreibung: Einen Befehl ausführen und den Dateizeiger zum Lesen und Schreiben öffnen.

Gefahrenstufe: Hoch

11. proc_get_status()

Funktionsbeschreibung: Informationen über den mit proc_open() geöffneten Prozess abrufen.

Gefahrenstufe: Hoch

12. error_log()

Funktionsbeschreibung: Fehlerinformationen an den angegebenen Speicherort (Datei) senden.

Sicherheitshinweis: In einigen PHP-Versionen kann error_log() verwendet werden, um den abgesicherten PHP-Modus zu umgehen und

beliebige Befehle auszuführen.

Gefahrenstufe: niedrig

13. ini_alter()

Funktionsbeschreibung: Es ist eine Alias-Funktion der Funktion ini_set() und hat die gleiche Funktion wie ini_set(). . Weitere Informationen finden Sie unter ini_set().

Gefahrenstufe: Hoch

14. ini_set()

Funktionsbeschreibung: Kann zum Ändern und Festlegen von PHP-Umgebungskonfigurationsparametern verwendet werden.

Gefahrenstufe: Hoch

15. ini_restore()

Funktionsbeschreibung: Kann verwendet werden, um PHP-Umgebungskonfigurationsparameter auf ihre Anfangswerte zurückzusetzen.

Gefahrenstufe: Hoch

16. dl()

Funktionsbeschreibung: Laden eines externen PHP-Moduls, während PHP läuft (nicht beim Start).

Gefahrenstufe: Hoch

17. pfsockopen()

Funktionsbeschreibung: Stellen Sie eine Socket-persistente Verbindung im Internet oder in der UNIX-Domäne her.

Gefahrenstufe: Hoch

18. syslog()

Funktionsbeschreibung: Die Systemebenenfunktion syslog() des UNIX-Systems kann aufgerufen werden.

Gefahrenstufe: Mittel

19. readlink()

Funktionsbeschreibung: Gibt den Inhalt der Zieldatei zurück, auf die der symbolische Link verweist.

Gefahrenstufe: Mittel

20. symlink()

Funktionsbeschreibung: Stellen Sie eine symbolische Verknüpfung im UNIX-System her.

Gefahrenstufe: Hoch

21. popen()

Funktionsbeschreibung: Ein Befehl kann über die Parameter von popen() übergeben und die Datei durch popen() geöffnet werden. ausführen.

Gefahrenstufe: Hoch

22. stream_socket_server()

Funktionsbeschreibung: Stellen Sie eine Internet- oder UNIX-Serververbindung her.

Gefahrenstufe: Mittel

23. putenv()

Funktionsbeschreibung: Wird verwendet, um die Systemzeichensatzumgebung zu ändern, wenn PHP ausgeführt wird. In PHP-Versionen vor 5, 2 und 6 können Sie diese Funktion verwenden, um die Systemzeichensatzumgebung zu ändern, und dann den Befehl sendmail verwenden, um spezielle Parameter zu senden, um den System-SHELL-Befehl auszuführen.

Gefahrenstufe: Hoch

Empfohlenes Tutorial: „PHP

Das obige ist der detaillierte Inhalt vonWas sind die gefährlichen Funktionen in PHP?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Vorheriger Artikel:Was ist PHP PSR?Nächster Artikel:Was ist PHP PSR?