推荐一些php中需要禁止的函数
墨初 编程开发 902阅读
下面的博文中列出一些php脚本中推荐禁用的函数,以提高php的安全性。
php中禁用函数推荐
1、php phpinfo() 函数
危险等级:中级
phpinfo():可以输出php的环境信息以及安装的模块信息,此信息可以会暴露一些安全性的信息被黑客利用。
2、php passthru()
危险等级:高级
passthru():允许执行一个外部程序并回显输出,类似于 exec()。
3、php exec()
危险等级:高级
exec():允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。
4、php system()
危险等级:高级
system():允许执行一个外部程序并回显输出,类似于 passthru()。
5、php chroot()
危险等级:高级
chroot():可改变当前PHP进程的工作根目录,仅当系统支持CLI模式PHP时才能工作,且该函数不适用于 Windows 系统。
6。php scandir()
危险等级:中级
scandir():列出指定路径中的文件和目录。
7、php chgrp()
危险等级:高级
chgrp():改变文件或目录所属的用户组。
8、php chown()
危险等级:高级
chown():改变文件或目录的所有者。
10、php shell_exec()
危险等级:高级
shell_exec():通过 Shell 执行命令,并将执行结果作为字符串返回。
11、php proc_open()
危险等级:高级
proc_open():执行一个命令并打开文件指针用于读取以及写入。
12、php proc_get_status()
危险等级:高级
proc_get_status():获取使用 proc_open() 所打开进程的信息。
13、error_log()
危险等级:低级
error_log():将错误信息发送到指定位置(文件)。
注意:在某些版本的 PHP 中,可使用 error_log() 绕过 PHP safe mode,
14、ini_restore()
危险等级:低级
ini_restore():可用于恢复 PHP 环境配置参数到其初始值。
15、dl()
危险等级:产级
dl():在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块。
16、pfsockopen()
危险等级:高级
pfsockopen():建立一个 Internet 或 UNIX 域的 socket 持久连接。
17、syslog()
危险等级:中级
syslog():可调用 UNIX 系统的系统层 syslog() 函数。
18、readlink()
危险等级:中级
readlink():返回符号连接指向的目标文件内容。
19、symlink()
危险等级:中级
symlink():在 UNIX 系统中建立一个符号链接。
20、popen()
危险等级:高级
popen():可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。
21、stream_socket_server()
危险等级:中级
stream_socket_server():建立一个 Internet 或 UNIX 服务器连接。
22、putenv()
危险等级:高级
putenv():用于在PHP运行时改变系统字符集环境。
以上就是php配置中推荐禁止的几个函数,各位可以根据自己网站的需要进行设置。