Este artículo es un artículo espejo de traducción automática, por favor haga clic aquí para saltar al artículo original.

Architect_Programmer_Code Red Agrícola»Arquitecto Programación PHP Algunas funciones peligrosas de PHP (disable_functions) que hay que desactivar...
Vista: 12646|Respuesta: 2

Algunas funciones peligrosas de PHP que deben desactivarse (disable_functions)

[Copiar enlace]
Publicado en 10/7/2015 20:28:51 | | | |

phpinfo()
Descripción de la función: Generar información del entorno PHP y módulos relacionados, entorno WEB y otra información.
Nivel de peligro: Medio

passthru()
Descripción de la función: Permite ejecutar un programa externo y emite eco de salida, similar a exec().
Nivel de peligro: alto

exec()
Descripción de la función: Permite la ejecución de un programa externo (como comandos UNIX Shell o CMD, etc.).
Nivel de peligro: alto

system()
Descripción de la función: Permite ejecutar un programa externo y emitir una salida con eco, similar a passthru().
Nivel de peligro: alto

chroot()
Descripción de la función: Puede cambiar la raíz de trabajo del proceso PHP actual, solo si el sistema soporta el modo CLI
PHP, y esta función no funciona en sistemas Windows.
Nivel de peligro: alto

Scandir()
Descripción de la función: Lista archivos y directorios en una ruta especificada.
Nivel de peligro: Medio

chgrp()
Descripción de la función: Cambiar el grupo de usuarios al que pertenece un archivo o directorio.
Nivel de peligro: alto

chown()
Descripción de la función: Cambiar el propietario de un archivo o directorio.
Nivel de peligro: alto

shell_exec()
Descripción de la función: Ejecutar comandos a través del shell y devolver el resultado de ejecución como cadena.
Nivel de peligro: alto

proc_open()
Descripción de la función: Ejecuta un comando y abre el puntero del archivo para leerlo y escribir.
Nivel de peligro: alto

proc_get_status()
Descripción de la función: Obtén información sobre el proceso abierto usando proc_open().
Nivel de peligro: alto

error_log()
Descripción de la función: Enviar mensajes de error a ubicaciones específicas (archivos).
Nota de seguridad: En algunas versiones de PHP, puedes usar error_log() para saltarte el modo seguro de PHP,
Ejecuta órdenes arbitrarias.
Nivel de peligro: bajo

ini_alter()
Descripción de la función: Es una función alias de la función ini_set(), que tiene la misma función que ini_set().
Consulta ini_set() para más detalles.
Nivel de peligro: alto

ini_set()
Descripción de la función: Puede utilizarse para modificar y establecer parámetros de configuración del entorno PHP.
Nivel de peligro: alto

ini_restore()
Descripción de la función: Puede usarse para restaurar los parámetros de configuración del entorno PHP a sus valores iniciales.
Nivel de peligro: alto

dl()
Descripción de la función: Carga un módulo externo de PHP durante la ejecución de PHP, no al inicio.
Nivel de peligro: alto

pfsockopen()
Descripción de la función: Establecer una conexión persistente de socket a un dominio de Internet o UNIX.
Nivel de peligro: alto

syslog()
Descripción de la función: Llama a la función syslog() a nivel de sistema del sistema UNIX.
Nivel de peligro: Medio

readlink()
Descripción de la función: Devuelve el contenido del archivo destino al que apunta la conexión del símbolo.
Nivel de peligro: Medio

symlink()
Descripción de la función: Crear un enlace simbólico en un sistema UNIX.
Nivel de peligro: alto

popen()
Descripción de la función: Puedes pasar un comando por los parámetros de popen() y ejecutar el archivo abierto por popen().
Nivel de peligro: alto

stream_socket_server()
Descripción de la función: Establecer una conexión a Internet o servidor UNIX.
Nivel de peligro: Medio

putenv()
Descripción de la función: Se usa para cambiar el entorno del conjunto de caracteres del sistema mientras PHP está en ejecución. En versiones de PHP anteriores a la 5.2.6, esta función puede utilizarse
Tras modificar el entorno del conjunto de caracteres del sistema, utiliza el comando sendmail para enviar parámetros especiales que ejecuten el comando SHELL del sistema.
Nivel de peligro: alto

El método de desactivación es el siguiente:
Abre el archivo /etc/php.ini,
Busca disable_functions y añade el nombre de la función que se va a desactivar, de la siguiente manera:
phpinfo, eval, passthru, exec, system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog, readlink, symlink, popepassthru, stream_socket_server, fsocket, fsockopen




Anterior:¿Tu sitio web sigue posicionando Baidu?
Próximo:En C#, en la nueva versión de Newtonsoft, Javascrip eliminó la solución alternativa que tConvert no pudo encontrar

Publicaciones relacionadas
 Propietario| Publicado en 10/7/2015 21:02:17 |
Si no desactivas estas funciones peligrosas, puedes ejecutar directamente el comando shell, como se muestra en la siguiente figura:

Publicado en 24/9/2019 13:29:45 |
Gracias, casero.
Renuncia:
Todo el software, materiales de programación o artículos publicados por Code Farmer Network son únicamente para fines de aprendizaje e investigación; El contenido anterior no se utilizará con fines comerciales o ilegales; de lo contrario, los usuarios asumirán todas las consecuencias. La información de este sitio proviene de Internet, y las disputas de derechos de autor no tienen nada que ver con este sitio. Debes eliminar completamente el contenido anterior de tu ordenador en un plazo de 24 horas desde la descarga. Si te gusta el programa, por favor apoya el software genuino, compra el registro y obtén mejores servicios genuinos. Si hay alguna infracción, por favor contáctanos por correo electrónico.
Mail To:help@itsvse.com