|
|
Zveřejněno 14.12.2015 22:34:33
|
|
|
Při kompilaci PHP, pokud není zvláštní potřeba, je nutné zakázat kompilaci podpory parsování PHP, která generuje příkazové vzory CLI. Při kompilaci můžete použít –disable-CLI. Jakmile je PHP zkompilováno pro generování CLI vzorů, může jej narušitel zneužít k nastavení zadních vrátek ve WEB Shellu nebo k vykonání libovolného kódu přes PHP.
phpinfo()
Popis funkce: Výstupní informace o PHP prostředí a souvisejících modulech, WEBOVÉ prostředí a další informace.
Úroveň nebezpečí: Střední
passthru()
Popis funkce: Umožňuje spuštění externího programu a echoe výstup, podobně jako exec().
Úroveň nebezpečí: vysoká
exec()
Popis funkce: Umožňuje spuštění externího programu (například příkazy UNIX Shell nebo CMD apod.).
Úroveň nebezpečí: vysoká
system()
Popis funkce: Umožňuje spouštět externí program a odrážet výstup, podobně jako passthru().
Úroveň nebezpečí: vysoká
chroot()
Popis funkce: Může změnit funkční kořenový adresář aktuálního PHP procesu a může fungovat pouze tehdy, pokud systém podporuje CLI režim PHP, přičemž tato funkce není použitelná pro Windows systémy.
Úroveň nebezpečí: vysoká
scandir()
Popis funkce: Uvádí soubory a adresáře ve specifikované cestě.
Úroveň nebezpečí: Střední
chgrp()
Popis funkce: Změňte uživatelskou skupinu, do které soubor nebo adresář patří.
Úroveň nebezpečí: vysoká
chown()
Popis funkce: Změňte vlastníka souboru nebo adresáře.
Úroveň nebezpečí: vysoká
shell_exec()
Popis funkce: Spouštějte příkazy přes shell a vraťte výsledek vykonání jako řetězec.
Úroveň nebezpečí: vysoká
proc_open()
Popis funkce: Spusť příkaz a otevřít ukazatel souboru pro čtení a zápis.
Úroveň nebezpečí: vysoká
proc_get_status()
Popis funkce: Získejte informace o procesu otevřeném pomocí proc_open().
Úroveň nebezpečí: vysoká
error_log()
Popis funkce: Odesílat chybové zprávy na určená místa (soubory).
Bezpečnostní poznámka: V některých verzích PHP můžete použít error_log() k obejití PHP v nouzovém režimu,
Provádějte libovolné příkazy.
Úroveň nebezpečí: nízká
ini_alter()
Popis funkce: Je to alias funkce funkce ini_set(), která má stejnou funkci jako ini_set(). Podrobnosti viz ini_set().
Úroveň nebezpečí: vysoká
ini_set()
Popis funkce: Lze ji použít k úpravě a nastavení konfiguračních parametrů prostředí PHP.
Úroveň nebezpečí: vysoká
ini_restore()
Popis funkce: Lze použít k obnovení konfiguračních parametrů prostředí PHP na jejich původní hodnoty.
Úroveň nebezpečí: vysoká
dl()
Popis funkce: Načtěte externí modul PHP během běhu PHP, ne při startu.
Úroveň nebezpečí: vysoká
pfsockopen()
Popis funkce: Navázejte trvalé připojení socketu k internetové nebo UNIX doméně.
Úroveň nebezpečí: vysoká
syslog()
Popis funkce: Volá systémovou syslog() funkci systému UNIX.
Úroveň nebezpečí: Střední
readlink()
Popis funkce: Vrací obsah cílového souboru, ke kterému symbol odkazuje.
Úroveň nebezpečí: Střední
symlink()
Popis funkce: Vytvořte symbolické spojení v systému UNIX.
Úroveň nebezpečí: vysoká
popen()
Popis funkce: Můžete předat příkaz přes parametry popen() a spustit soubor otevřený pomocí popen().
Úroveň nebezpečí: vysoká
stream_socket_server()
Popis funkce: Navázat připojení k internetu nebo UNIX serveru.
Úroveň nebezpečí: Střední
putenv()
Popis funkce: Používá se ke změně prostředí systémové znakové sady během běhu PHP. V PHP verzích starších než verze 5.2.6 lze tuto funkci použít k úpravě prostředí systémové znakové sady a poté pomocí příkazu sendmail poslat speciální parametry pro spuštění příkazu systemového SHELL.
Úroveň nebezpečí: vysoká
|
Předchozí:Vláknové vícevláknové zpracování Důležitá role IsBackground pro vláknaDalší:Velmi užitečné srovnávací knihovnické funkce, trochu vágní při učení, zjišťujte a sdílejte se všemi
|
Zveřejněno 24.09.2019 13:30:17
