php はいくつかの危険な機能を無効にします-PHPチュートリアル-php.cn

ホームページ

バックエンド開発

PHPチュートリアル

php はいくつかの危険な機能を無効にします

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 23, 2016 pm 01:47 PM

passthru()
関数の説明: exec() と同様に、外部プログラムを実行し、出力をエコーすることができます。
危険レベル: 高

exec()
機能の説明: 外部プログラム (UNIX シェルや CMD コマンドなど) の実行を許可します。
危険度: 高

assert()
関数の説明: デフォルト値に従い、プログラムの実行中にassert()を呼び出して式を判断すると、evalと同様にfalseが発生してもプログラムは実行を継続します。 ( ) も同様ですが、 eval($code_str) は PHP エンコーディング仕様に準拠した $code_str のみを実行します。 Assert の使い方はもう少し詳しく説明します。
危険レベル: 高

system()
機能の説明: passthru() と同様に、外部プログラムを実行し、出力をエコーすることができます。
危険レベル: 高

chroot()
機能の説明: 現在の PHP プロセスの作業ルートディレクトリを変更できます。システムが CLI モード PHP をサポートしている場合にのみ機能し、この機能は Windows システムには適用されません。
危険レベル: 高

chgrp()
機能説明: ファイルまたはディレクトリが属するユーザーグループを変更します。
危険レベル: 高

chown()
関数の説明: ファイルまたはディレクトリの所有者を変更します。
危険レベル: 高

shell_exec()
機能説明: シェルを通じてコマンドを実行し、実行結果を文字列として返します。
危険レベル: 高

proc_open()
関数の説明: コマンドを実行し、読み取りと書き込みのためにファイルポインターを開きます。
危険レベル: 高

ini_restore()
機能の説明: PHP 環境設定パラメーターを初期値に復元するために使用できます。
危険レベル: 高

dl()
関数の説明: PHP の実行中に (起動時ではなく) PHP 外部モジュールをロードします。
危険度: 高

readlink()
関数の説明: シンボリックリンクが指すターゲットファイルの内容を返します。
危険レベル: 中

symlink()
機能説明: UNIX システムにシンボリックリンクを作成します。
危険レベル: 高

popen()
機能の説明: コマンドは、popen() のパラメータを介して渡され、popen() によって開かれたファイルに対して実行されます。
危険レベル: 高

stream_socket_server()
機能の説明: インターネットまたは UNIX サーバー接続を確立します。
危険レベル: 中

pfsockopen()
機能の説明: インターネットまたは UNIX ドメインでソケット永続接続を確立します。
危険レベル: 高

putenv()
関数の説明: PHP の実行時にシステムの文字セット環境を変更するために使用されます。 5.2.6 より前の PHP バージョンでは、この関数を使用してシステムの文字セット環境を変更し、sendmail コマンドを使用して特別なパラメータを送信し、システム SHELL コマンドを実行できます。
危険レベル: 高

変更方法:
/etc/php.ini ファイルを開き、
disable_functions を見つけて次のように変更します: disable_functions=passthru,exec,assert,system,chroot,chgrp,chown,shell_exec,proc_open,ini_restore 、dl、readlink、symlink、popen、stream_socket_server、pfsockopen、putenv
ああ、eval を無効にすることはできません。php Suhosin を使用する必要があります。

無効化されたメソッドは、実際には、curl_exec()、fopen()、file_get_contents() などもいくつかありますが、使用する必要があります。実際のプロジェクトでは無効にできないため、無効にすることはできません。
nginx の場合、次のように、一部の静的ファイルパスでの php の実行を制限できます (ディレクトリを独自の静的ファイルディレクトリに変更します):

          <ol>              <li>location ~ /(style|html|cache|config|js|css|image|log|images|uploads|upload|attachments|templets)/.*\.(php|php5)?$ {</li>              <li> deny all;</li>              <li>}</li>          </ol>

こうすることでセキュリティが向上し、将来さらに追加する予定です。仕事で忙しくなります。

詳細: http://www.webyang.net/Html/web/article_125.html

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

PHP対Python：違いを理解しますApr 11, 2025 am 12:15 AM

PHP and Python each have their own advantages, and the choice should be based on project requirements. 1.PHPは、シンプルな構文と高い実行効率を備えたWeb開発に適しています。 2。Pythonは、簡潔な構文とリッチライブラリを備えたデータサイエンスと機械学習に適しています。

PHP：それは死にかけていますか、それとも単に適応していますか？Apr 11, 2025 am 12:13 AM

PHPは死にかけていませんが、常に適応して進化しています。 1）PHPは、1994年以来、新しいテクノロジーの傾向に適応するために複数のバージョンの反復を受けています。 2）現在、電子商取引、コンテンツ管理システム、その他の分野で広く使用されています。 3）PHP8は、パフォーマンスと近代化を改善するために、JITコンパイラおよびその他の機能を導入します。 4）Opcacheを使用してPSR-12標準に従って、パフォーマンスとコードの品質を最適化します。

PHPの未来：適応と革新Apr 11, 2025 am 12:01 AM

PHPの将来は、新しいテクノロジーの傾向に適応し、革新的な機能を導入することで達成されます。1）クラウドコンピューティング、コンテナ化、マイクロサービスアーキテクチャに適応し、DockerとKubernetesをサポートします。 2）パフォーマンスとデータ処理の効率を改善するために、JITコンパイラと列挙タイプを導入します。 3）パフォーマンスを継続的に最適化し、ベストプラクティスを促進します。

PHPの抽象クラスまたはインターフェイスに対して、いつ特性を使用しますか？Apr 10, 2025 am 09:39 AM

PHPでは、特性は方法が必要な状況に適していますが、継承には適していません。 1）特性により、クラスの多重化方法が複数の継承の複雑さを回避できます。 2）特性を使用する場合、メソッドの競合に注意を払う必要があります。メソッドの競合は、代替およびキーワードとして解決できます。 3）パフォーマンスを最適化し、コードメンテナビリティを改善するために、特性の過剰使用を避け、その単一の責任を維持する必要があります。

依存関係噴射コンテナ（DIC）とは何ですか？また、なぜPHPで使用するのですか？Apr 10, 2025 am 09:38 AM

依存関係噴射コンテナ（DIC）は、PHPプロジェクトで使用するオブジェクト依存関係を管理および提供するツールです。 DICの主な利点には、次のものが含まれます。1。デカップリング、コンポーネントの独立したもの、およびコードの保守とテストが簡単です。 2。柔軟性、依存関係を交換または変更しやすい。 3.テスト可能性、単体テストのために模擬オブジェクトを注入するのに便利です。

通常のPHPアレイと比較して、SPL SPLFIXEDARRAYとそのパフォーマンス特性を説明してください。Apr 10, 2025 am 09:37 AM

SplfixedArrayは、PHPの固定サイズの配列であり、高性能と低いメモリの使用が必要なシナリオに適しています。 1）動的調整によって引き起こされるオーバーヘッドを回避するために、作成時にサイズを指定する必要があります。 2）C言語アレイに基づいて、メモリと高速アクセス速度を直接動作させます。 3）大規模なデータ処理とメモリに敏感な環境に適していますが、サイズが固定されているため、注意して使用する必要があります。

PHPは、ファイルを安全に処理する方法をどのように処理しますか？Apr 10, 2025 am 09:37 AM

PHPは、$ \ _ファイル変数を介してファイルのアップロードを処理します。セキュリティを確保するための方法には次のものが含まれます。1。アップロードエラー、2。ファイルの種類とサイズを確認する、3。ファイル上書きを防ぐ、4。ファイルを永続的なストレージの場所に移動します。

Null Coulescingオペレーター（??）およびNull Coulescing Assignment Operator（?? =）とは何ですか？Apr 10, 2025 am 09:33 AM

JavaScriptでは、nullcoalescingoperator（??）およびnullcoalescingsignmentoperator（?? =）を使用できます。 1.？？最初の非潜水金または非未定されたオペランドを返します。 2.？？これらの演算子は、コードロジックを簡素化し、読みやすさとパフォーマンスを向上させます。

See all articles