|
|
Veröffentlicht am 10.07.2015 20:28:51
|
|
|
|
phpinfo()
Funktionsbeschreibung: Ausgabe von PHP-Umgebungsinformationen und zugehörigen Modulen, WEB-Umgebung und weiteren Informationen.
Gefahrenstufe: Mittel
passthru()
Funktionsbeschreibung: Ermöglicht die Ausführung eines externen Programms und echot die Ausgabe, ähnlich wie exec().
Gefahrenstufe: hoch
exec()
Funktionsbeschreibung: Ermöglicht die Ausführung eines externen Programms (wie UNIX-Shell- oder CMD-Befehle usw.).
Gefahrenstufe: hoch
System()
Funktionsbeschreibung: Ermöglicht es, ein externes Programm auszuführen und eine Ausgabe zu echoen, ähnlich wie passthru().
Gefahrenstufe: hoch
chroot()
Funktionsbeschreibung: Kann die Arbeitswurzel des aktuellen PHP-Prozesses nur ändern, wenn das System den CLI-Modus unterstützt
PHP, und diese Funktion funktioniert auf Windows-Systemen nicht.
Gefahrenstufe: hoch
scandir()
Funktionsbeschreibung: Listet Dateien und Verzeichnisse in einem angegebenen Pfad auf.
Gefahrenstufe: Mittel
chgrp()
Funktionsbeschreibung: Ändern Sie die Benutzergruppe, zu der eine Datei oder ein Verzeichnis gehört.
Gefahrenstufe: hoch
chown()
Funktionsbeschreibung: Ändere den Besitzer einer Datei oder eines Verzeichnisses.
Gefahrenstufe: hoch
shell_exec()
Funktionsbeschreibung: Führe Befehle über die Shell aus und gib das Ausführungsergebnis als Zeichenkette zurück.
Gefahrenstufe: hoch
proc_open()
Funktionsbeschreibung: Führe einen Befehl aus und öffne den Dateizeiger zum Lesen und Schreiben.
Gefahrenstufe: hoch
proc_get_status()
Funktionsbeschreibung: Erhalten Sie Informationen über den geöffneten Prozess mit proc_open().
Gefahrenstufe: hoch
error_log()
Funktionsbeschreibung: Sende Fehlermeldungen an bestimmte Orte (Dateien).
Sicherheitshinweis: In einigen PHP-Versionen kann man error_log() verwenden, um den PHP-Sicherheitsmodus zu umgehen,
Führe beliebige Befehle aus.
Gefahrenniveau: niedrig
ini_alter()
Funktionsbeschreibung: Sie ist eine Aliasfunktion der ini_set()-Funktion, die dieselbe Funktion wie ini_set() besitzt.
Siehe ini_set() für Details.
Gefahrenstufe: hoch
ini_set()
Funktionsbeschreibung: Sie kann verwendet werden, um PHP-Umgebungskonfigurationsparameter zu ändern und festzulegen.
Gefahrenstufe: hoch
ini_restore()
Funktionsbeschreibung: Kann verwendet werden, um PHP-Umgebungskonfigurationsparameter auf ihre Anfangswerte zurückzusetzen.
Gefahrenstufe: hoch
dl()
Funktionsbeschreibung: Lade ein externes PHP-Modul während der PHP-Laufzeit, nicht beim Start.
Gefahrenstufe: hoch
pfsockopen()
Funktionsbeschreibung: Stellen Sie eine socket-persistente Verbindung zu einer Internet- oder UNIX-Domäne her.
Gefahrenstufe: hoch
syslog()
Funktionsbeschreibung: Ruft die systemebene syslog()-Funktion des UNIX-Systems auf.
Gefahrenstufe: Mittel
readlink()
Funktionsbeschreibung: Gibt den Inhalt der Zieldatei zurück, zu der die Symbolverbindung führt.
Gefahrenstufe: Mittel
symlink()
Funktionsbeschreibung: Erstellen Sie eine symbolische Verbindung in einem UNIX-System.
Gefahrenstufe: hoch
Popen()
Funktionsbeschreibung: Du kannst einen Befehl durch die Parameter popen() schicken und die von popen() geöffnete Datei ausführen.
Gefahrenstufe: hoch
stream_socket_server()
Funktionsbeschreibung: Stellen Sie eine Internet- oder UNIX-Serververbindung her.
Gefahrenstufe: Mittel
putenv()
Funktionsbeschreibung: Wird verwendet, um die System-Zeichensettingsumgebung während der Ausführung von PHP zu ändern. In PHP-Versionen vor 5.2.6 kann diese Funktion genutzt werden
Nach der Änderung der Systemzeichensettingsumgebung verwenden Sie den Befehl sendmail, um spezielle Parameter zu senden, um den Systembefehl SHELL auszuführen.
Gefahrenstufe: hoch
Die Deaktivierungsmethode ist wie folgt:
Öffne die Datei /etc/php.ini,
Finden Sie disable_functions und fügen Sie den Namen der zu deaktivierenden Funktion hinzu, wie folgt:
phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog, readlink, symlink, popepassthru, stream_socket_server, fsocket, fsockopen |
Vorhergehend:Rankt deine Website Baidu noch?Nächster:In C#, in der neuen Version von Newtonsoft, entfernte Javascrip den Workaround, den tConvert nicht finden konnte
|
Vermieter|
Veröffentlicht am 10.07.2015 21:02:17
|
Veröffentlicht am 24.09.2019 13:29:45
