Dieser Artikel ist ein Spiegelartikel der maschinellen Übersetzung, bitte klicken Sie hier, um zum Originalartikel zu springen.

Architect_Programmer_Code Landwirtschaftsnetzwerk»Architekt Programmieren PHP Vollständige Parsing gefährlicher Funktionen in PHP
Ansehen: 9719|Antwort: 1

Vollständige Parsing gefährlicher Funktionen in PHP

[Link kopieren]
Veröffentlicht am 14.12.2015 22:34:33 | | |
Beim Kompilieren von PHP, sofern kein besonderer Bedarf besteht, ist es notwendig, die Kompilierung von PHP-Parsing-Unterstützung, die CLI-Kommandozeilenmuster erzeugt, zu verbieten. Du kannst –disable-CLI zur Kompilierungszeit verwenden. Sobald PHP kompiliert wurde, um CLI-Muster zu erzeugen, kann es von einem Eindringling ausgenutzt werden, um einen WEB Shell-Backdoor-Prozess einzurichten oder beliebigen Code über PHP auszuführen.
phpinfo()
Funktionsbeschreibung: Ausgabe von PHP-Umgebungsinformationen und zugehörigen Modulen, WEB-Umgebung und weiteren Informationen.
Gefahrenstufe: Mittel
passthru()
Funktionsbeschreibung: Ermöglicht die Ausführung eines externen Programms und echot die Ausgabe, ähnlich wie exec().
Gefahrenstufe: hoch
exec()
Funktionsbeschreibung: Ermöglicht die Ausführung eines externen Programms (wie UNIX-Shell- oder CMD-Befehle usw.).
Gefahrenstufe: hoch
System()
Funktionsbeschreibung: Ermöglicht es, ein externes Programm auszuführen und eine Ausgabe zu echoen, ähnlich wie passthru().
Gefahrenstufe: hoch
chroot()
Funktionsbeschreibung: Sie kann das funktionierende Root-Verzeichnis des aktuellen PHP-Prozesses ändern und funktioniert nur, wenn das System CLI-Modus PHP unterstützt und diese Funktion nicht auf Windows-Systeme anwendbar ist.
Gefahrenstufe: hoch
scandir()
Funktionsbeschreibung: Listet Dateien und Verzeichnisse in einem angegebenen Pfad auf.
Gefahrenstufe: Mittel
chgrp()
Funktionsbeschreibung: Ändern Sie die Benutzergruppe, zu der eine Datei oder ein Verzeichnis gehört.
Gefahrenstufe: hoch
chown()
Funktionsbeschreibung: Ändere den Besitzer einer Datei oder eines Verzeichnisses.
Gefahrenstufe: hoch
shell_exec()
Funktionsbeschreibung: Führe Befehle über die Shell aus und gib das Ausführungsergebnis als Zeichenkette zurück.
Gefahrenstufe: hoch
proc_open()
Funktionsbeschreibung: Führe einen Befehl aus und öffne den Dateizeiger zum Lesen und Schreiben.
Gefahrenstufe: hoch
proc_get_status()
Funktionsbeschreibung: Erhalten Sie Informationen über den geöffneten Prozess mit proc_open().
Gefahrenstufe: hoch
error_log()
Funktionsbeschreibung: Sende Fehlermeldungen an bestimmte Orte (Dateien).
Sicherheitshinweis: In einigen PHP-Versionen kann man error_log() verwenden, um den PHP-Sicherheitsmodus zu umgehen,
Führe beliebige Befehle aus.
Gefahrenniveau: niedrig
ini_alter()
Funktionsbeschreibung: Sie ist eine Aliasfunktion der ini_set()-Funktion, die dieselbe Funktion wie ini_set() besitzt. Siehe ini_set() für Details.
Gefahrenstufe: hoch
ini_set()
Funktionsbeschreibung: Sie kann verwendet werden, um PHP-Umgebungskonfigurationsparameter zu ändern und festzulegen.
Gefahrenstufe: hoch
ini_restore()
Funktionsbeschreibung: Kann verwendet werden, um PHP-Umgebungskonfigurationsparameter auf ihre Anfangswerte zurückzusetzen.
Gefahrenstufe: hoch
dl()
Funktionsbeschreibung: Lade ein externes PHP-Modul während der PHP-Laufzeit, nicht beim Start.
Gefahrenstufe: hoch
pfsockopen()
Funktionsbeschreibung: Stellen Sie eine socket-persistente Verbindung zu einer Internet- oder UNIX-Domäne her.
Gefahrenstufe: hoch
syslog()
Funktionsbeschreibung: Ruft die systemebene syslog()-Funktion des UNIX-Systems auf.
Gefahrenstufe: Mittel
readlink()
Funktionsbeschreibung: Gibt den Inhalt der Zieldatei zurück, zu der die Symbolverbindung führt.
Gefahrenstufe: Mittel
symlink()
Funktionsbeschreibung: Erstellen Sie eine symbolische Verbindung in einem UNIX-System.
Gefahrenstufe: hoch
Popen()
Funktionsbeschreibung: Du kannst einen Befehl durch die Parameter popen() schicken und die von popen() geöffnete Datei ausführen.
Gefahrenstufe: hoch
stream_socket_server()
Funktionsbeschreibung: Stellen Sie eine Internet- oder UNIX-Serververbindung her.
Gefahrenstufe: Mittel
putenv()
Funktionsbeschreibung: Wird verwendet, um die System-Zeichensettingsumgebung während der Ausführung von PHP zu ändern. In PHP-Versionen vor Version 5.2.6 kann diese Funktion verwendet werden, um die Systemzeichensettingumgebung zu verändern und dann den Befehl sendmail zu verwenden, um spezielle Parameter zu senden, um den Systembefehl SHELL auszuführen.
Gefahrenstufe: hoch





Vorhergehend:Thread-Multithreading Die wichtige Rolle von IsBackground für Threads
Nächster:Sehr nützliche vergleichende Bibliotheksfunktionen, etwas vage beim Lernen, lernen Sie und teilen Sie sie mit allen

Verwandte Beiträge
Veröffentlicht am 24.09.2019 13:30:17 |
Danke, Vermieter.
Verzichtserklärung:
Alle von Code Farmer Network veröffentlichten Software, Programmiermaterialien oder Artikel dienen ausschließlich Lern- und Forschungszwecken; Die oben genannten Inhalte dürfen nicht für kommerzielle oder illegale Zwecke verwendet werden, andernfalls tragen die Nutzer alle Konsequenzen. Die Informationen auf dieser Seite stammen aus dem Internet, und Urheberrechtsstreitigkeiten haben nichts mit dieser Seite zu tun. Sie müssen die oben genannten Inhalte innerhalb von 24 Stunden nach dem Download vollständig von Ihrem Computer löschen. Wenn Ihnen das Programm gefällt, unterstützen Sie bitte echte Software, kaufen Sie die Registrierung und erhalten Sie bessere echte Dienstleistungen. Falls es eine Verletzung gibt, kontaktieren Sie uns bitte per E-Mail.
Mail To:help@itsvse.com