Quelles sont les fonctions dangereuses en PHP ?

Lors de la compilation de PHP, s'il n'y a pas de besoin particulier, il doit être interdit de compiler et de générer le support de l'analyse PHP en mode ligne de commande CLI. Peut être compilé en utilisant --disable-CLI. Une fois PHP en mode CLI compilé et généré, le programme peut être utilisé par des intrus pour établir un processus de porte dérobée WEB Shell ou exécuter du code arbitraire via PHP.

1. phpinfo()

Description de la fonction : Afficher les informations sur l'environnement PHP et le module associé, l'environnement WEB et d'autres informations.

Niveau de danger : Moyen

2. passthru()

Description de la fonction : Permet d'exécuter un programme externe et de faire écho à la sortie, similaire à exec().

Niveau de danger : Élevé

3. exec()

Description de la fonction : Permet l'exécution d'un programme externe (tel qu'un shell UNIX ou une commande CMD, etc.).

Niveau de danger : Élevé

4. system()

Description de la fonction : Permet d'exécuter un programme externe et de faire écho à la sortie, similaire à passthru().

Niveau de danger : Élevé

5. chroot()

Description de la fonction : Il peut modifier le répertoire racine de travail du processus PHP actuel. Il ne peut fonctionner que lorsque le système est activé. prend en charge le mode CLI PHP et cette fonction n'est pas applicable aux systèmes Windows.

Niveau de danger : Élevé

6. scandir()

Description de la fonction : Répertoriez les fichiers et répertoires dans le chemin spécifié.

Niveau de danger : Moyen

7. chgrp()

Description de la fonction : Changer le groupe d'utilisateurs auquel appartient un fichier ou un répertoire.

Niveau de danger : Élevé

8. chown()

Description de la fonction : Changer le propriétaire du fichier ou du répertoire.

Niveau de danger : élevé

9. shell_exec()

Description de la fonction : exécutez la commande via Shell et renvoyez le résultat de l'exécution sous forme de chaîne.

Niveau de danger : Élevé

10. proc_open()

Description de la fonction : Exécuter une commande et ouvrir le pointeur de fichier pour la lecture et l'écriture.

Niveau de danger : Élevé

11. proc_get_status()

Description de la fonction : Obtenez des informations sur le processus ouvert à l'aide de proc_open().

Niveau de danger : Élevé

12. error_log()

Description de la fonction : Envoyer des informations d'erreur à l'emplacement spécifié (fichier).

Remarque de sécurité : dans certaines versions de PHP, error_log() peut être utilisé pour contourner le mode sans échec de PHP et

exécuter des commandes arbitraires.

Niveau de danger : faible

13. ini_alter()

Description de la fonction : Il s'agit d'une fonction alias de la fonction ini_set() et a la même fonction que ini_set(). . Voir ini_set() pour plus de détails.

Niveau de danger : Élevé

14. ini_set()

Description de la fonction : Peut être utilisé pour modifier et définir les paramètres de configuration de l'environnement PHP.

Niveau de danger : Élevé

15. ini_restore()

Description de la fonction : Peut être utilisé pour restaurer les paramètres de configuration de l'environnement PHP à leurs valeurs initiales.

Niveau de danger : Élevé

16. dl()

Description de la fonction : Charger un module externe PHP pendant que PHP est en cours d'exécution (pas au démarrage).

Niveau de danger : Élevé

17. pfsockopen()

Description de la fonction : Établir une connexion persistante socket dans le domaine Internet ou UNIX.

Niveau de danger : Élevé

18. syslog()

Description de la fonction : La fonction syslog() de la couche système du système UNIX peut être appelée.

Niveau de danger : Moyen

19. readlink()

Description de la fonction : Renvoie le contenu du fichier cible pointé par le lien symbolique.

Niveau de danger : Moyen

20. symlink()

Description de la fonction : Établir un lien symbolique dans le système UNIX.

Niveau de danger : Élevé

21. popen()

Description de la fonction : Une commande peut être passée via les paramètres de popen() et le fichier ouvert par popen() à exécuter.

Niveau de danger : Élevé

22. stream_socket_server()

Description de la fonction : Établir une connexion à un serveur Internet ou UNIX.

Niveau de danger : Moyen

23. putenv()

Description de la fonction : Utilisé pour modifier l'environnement du jeu de caractères du système lorsque PHP est en cours d'exécution. Dans les versions PHP antérieures à 5, 2 et 6, vous pouvez utiliser cette fonction pour modifier l'environnement de jeu de caractères du système, puis utiliser la commande sendmail pour envoyer des paramètres spéciaux afin d'exécuter la commande système SHELL.

Niveau de danger : Élevé

Tutoriel recommandé : "PHP"

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!