Cet article est un article miroir de traduction automatique, veuillez cliquer ici pour accéder à l’article original.

Architect_Programmer_Code Réseau agricole»Architecte Programmation PHP Certaines fonctions dangereuses (disable_functions) de PHP qui doivent être désactivées...
Vue: 12646|Répondre: 2

Certaines fonctions PHP dangereuses qui doivent être désactivées (disable_functions)

[Copié le lien]
Publié sur 10/07/2015 20:28:51 | | | |

phpinfo()
Description de la fonction : Produire des informations sur l’environnement PHP et les modules associés, l’environnement WEB et d’autres informations.
Niveau de danger : Moyen

passthru()
Description de la fonction : Permet d’exécuter un programme externe et fait écho à la sortie, similaire à exec().
Niveau de danger : élevé

exec()
Description de la fonction : Permet l’exécution d’un programme externe (comme les commandes UNIX Shell ou CMD, etc.).
Niveau de danger : élevé

system()
Description de la fonction : Permet d’exécuter un programme externe et d’éjecter une sortie, similaire à passthru().
Niveau de danger : élevé

chroot()
Description de la fonction : Peut modifier la racine de travail du processus PHP courant, uniquement si le système supporte le mode CLI
PHP, et cette fonction ne fonctionne pas sur les systèmes Windows.
Niveau de danger : élevé

scandir()
Description de la fonction : Liste les fichiers et répertoires dans un chemin spécifié.
Niveau de danger : Moyen

chgrp()
Description de la fonction : Modifier le groupe d’utilisateurs auquel appartient un fichier ou un répertoire.
Niveau de danger : élevé

chown()
Description de la fonction : Changer le propriétaire d’un fichier ou d’un répertoire.
Niveau de danger : élevé

shell_exec()
Description de la fonction : exécuter les commandes via le shell et renvoyer le résultat d’exécution sous forme de chaîne.
Niveau de danger : élevé

proc_open()
Description de la fonction : Exécuter une commande et ouvrir le pointeur du fichier pour la lecture et l’écriture.
Niveau de danger : élevé

proc_get_status()
Description de la fonction : Obtenez des informations sur le processus ouvert en utilisant proc_open().
Niveau de danger : élevé

error_log()
Description de la fonction : Envoyer des messages d’erreur à des emplacements spécifiés (fichiers).
Note de sécurité : Dans certaines versions de PHP, vous pouvez utiliser error_log() pour contourner le mode sans échec PHP,
Exécutez des commandes arbitraires.
Niveau de danger : faible

ini_alter()
Description de la fonction : C’est une fonction alias de la fonction ini_set(), qui a la même fonction que ini_set().
Voir ini_set() pour plus de détails.
Niveau de danger : élevé

ini_set()
Description de la fonction : Elle peut être utilisée pour modifier et définir les paramètres de configuration de l’environnement PHP.
Niveau de danger : élevé

ini_restore()
Description de la fonction : peut être utilisé pour restaurer les paramètres de configuration de l’environnement PHP à leurs valeurs initiales.
Niveau de danger : élevé

dl()
Description de la fonction : Charger un module externe PHP pendant l’exécution de PHP, pas au démarrage.
Niveau de danger : élevé

pfsockopen()
Description de la fonction : Établir une connexion persistante socket vers un domaine Internet ou UNIX.
Niveau de danger : élevé

syslog()
Description de la fonction : Appelle la fonction syslog() au niveau système du système UNIX.
Niveau de danger : Moyen

readlink()
Description de la fonction : Retourne le contenu du fichier cible vers lequel pointe la connexion du symbole.
Niveau de danger : Moyen

symlink()
Description de la fonction : Créer un lien symbolique dans un système UNIX.
Niveau de danger : élevé

Popeen()
Description de la fonction : Vous pouvez passer une commande dans les paramètres de popen() et exécuter le fichier ouvert par popen().
Niveau de danger : élevé

stream_socket_server()
Description de la fonction : Établir une connexion serveur Internet ou UNIX.
Niveau de danger : Moyen

putenv()
Description de la fonction : Utilisée pour modifier l’environnement du jeu de caractères système pendant que PHP fonctionne. Dans les versions PHP antérieures à la 5.2.6, cette fonction peut être utilisée
Après avoir modifié l’environnement du jeu de caractères système, utilisez la commande sendmail pour envoyer des paramètres spéciaux afin d’exécuter la commande SHELL système.
Niveau de danger : élevé

La méthode de désactivation est la suivante :
Ouvre le fichier /etc/php.ini,
Trouvez disable_functions et ajoutez le nom de la fonction à désactiver, comme suit :
phpinfo, eval, passthru, exec, system,chroot, scandir, chgrp, chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog, readlink, symlink, popepassthru, stream_socket_server, fsocket, fsockopen




Précédent:Votre site Baidu est-il toujours classé ?
Prochain:En C#, dans la nouvelle version de Newtonsoft, Javascrip a supprimé la solution de contournement que tConvert n’avait pas trouvée

Articles connexes
 Propriétaire| Publié sur 10/07/2015 21:02:17 |
Si vous ne désactivez pas ces fonctions dangereuses, vous pouvez exécuter directement la commande shell, comme montré dans la figure suivante :

Publié sur 24/09/2019 13:29:45 |
Merci propriétaire.
Démenti:
Tous les logiciels, supports de programmation ou articles publiés par Code Farmer Network sont uniquement destinés à l’apprentissage et à la recherche ; Le contenu ci-dessus ne doit pas être utilisé à des fins commerciales ou illégales, sinon les utilisateurs assumeront toutes les conséquences. Les informations sur ce site proviennent d’Internet, et les litiges de droits d’auteur n’ont rien à voir avec ce site. Vous devez supprimer complètement le contenu ci-dessus de votre ordinateur dans les 24 heures suivant le téléchargement. Si vous aimez le programme, merci de soutenir un logiciel authentique, d’acheter l’immatriculation et d’obtenir de meilleurs services authentiques. En cas d’infraction, veuillez nous contacter par e-mail.
Mail To:help@itsvse.com