PHP 是一种通用开源脚本语言, 全称是 PHP Hypertext Preprocessor 即 PHP 超文本预处理器,可免费下载使用在服务器上执行,对初学者而言简单易学也为专业的程序员提供了许多先进的功能,PHP 文件可包含文本、HTML、JavaScript 代码,可以创建、打开、读取、写入、关闭服务器上的文件 PHP 可以收集表单数据,可以添加、删除、修改您的数据库中的数据,可以限制用户访问您的网站上的一些页面,可以输出图像、PDF 文件,甚至 Flash 电影,荒岛本次带来 PHP 危险函数的科普教程。
低危函数
error_log() 将错误信息发送到指定位置(文件),在某些版本的 PHP 中可使用 error_log() 绕过 PHP safe mode 执行任意命令。宝藏内容来自荒岛-https://x-imagine.com/php-function.html
中危函数
phpinfo() 输出 PHP 环境信息以及相关的模块、WEB 环境等信息。宝藏内容来自荒岛-https://x-imagine.com/php-function.html
scandir() 列出指定路径中的文件和目录,不使用 thinkphp 框架可禁用。宝藏内容来自荒岛-https://x-imagine.com/php-function.html
syslog()可调用 UNIX 系统的系统层 syslog() 函数。宝藏内容来自荒岛-https://x-imagine.com/php-function.html
readlink()返回符号连接指向的目标文件内容。宝藏内容来自荒岛-https://x-imagine.com/php-function.html
stream_socket_server() 建立一个 Internet 或 UNIX 服务器连接,不使用 workerman 框架可禁用。宝藏内容来自荒岛-https://x-imagine.com/php-function.html
高危函数
passthru() 允许执行一个外部程序并回显输出,类似于 exec()。宝藏内容来自荒岛-https://x-imagine.com/php-function.html
exec()允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。宝藏内容来自荒岛-https://x-imagine.com/php-function.html
system()允许执行一个外部程序并回显输出,类似于 passthru()。宝藏内容来自荒岛-https://x-imagine.com/php-function.html
chroot()可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式 PHP 时才能工作,且该函数不适用于 Windows 系统。宝藏内容来自荒岛-https://x-imagine.com/php-function.html
chgrp()改变文件或目录所属的用户组。
chown()改变文件或目录的所有者。
shell_exec()通过 Shell 执行命令,并将执行结果作为字符串返回。
proc_open()执行一个命令并打开文件指针用于读取以及写入。
proc_get_status()获取使用 proc_open() 所打开进程的信息。
ini_set()可用于修改、设置 PHP 环境配置参数。
ini_alter()是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同。
ini_restore()可用于恢复 PHP 环境配置参数到其初始值。
dl()在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块。
pfsockopen()建立一个 Internet 或 UNIX 域的 socket 持久连接。
symlink()在 UNIX 系统中建立一个符号链接。
popen()可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。
putenv()用于在 PHP 运行时改变系统字符集环境。在低于 5.2.6 版本的 PHP 中,可利用该函数修改系统字符集环境后,利用 sendmail 指令发送特殊参数执行系统 SHELL 命令。
fsockopen()一个可以实现远程登录访问的函数,也容易被黑客利用进行 PHPDDOS 攻击。phpddos 原理是向外发 upd 包,curl 当然也可以,但默认情况下 fsockopen 可用,curl 不默认加载。
禁用方法
- 在 php.ini 文件中查到 disable_functions,在等于号(=)后面添加需禁用的函数名
- 使用宝塔面板中 php 设置里禁用函数
荒岛推荐
截图预览
请按 Ctrl+D 收藏荒岛分享给好友 如您发现本文件已经失效无法下载请联系站长修正
