Cet article est un article miroir de traduction automatique, veuillez cliquer ici pour accéder à l’article original.

Architect_Programmer_Code Réseau agricole»Architecte Programmation PHP Analyse complète des fonctions dangereuses en PHP
Vue: 9719|Répondre: 1

Analyse complète des fonctions dangereuses en PHP

[Copié le lien]
Publié sur 14/12/2015 22:34:33 | | |
Lors de la compilation de PHP, s’il n’y a pas de besoin particulier, il est nécessaire d’interdire la compilation du support de l’analyse PHP qui génère des schémas en ligne de commande CLI. Vous pouvez utiliser –disable-CLI au moment de la compilation. Une fois que PHP est compilé pour générer des patterns CLI, il peut être exploité par un intrus pour mettre en place un processus backdoor WEB Shell ou exécuter un code arbitraire via PHP.
phpinfo()
Description de la fonction : Produire des informations sur l’environnement PHP et les modules associés, l’environnement WEB et d’autres informations.
Niveau de danger : Moyen
passthru()
Description de la fonction : Permet d’exécuter un programme externe et fait écho à la sortie, similaire à exec().
Niveau de danger : élevé
exec()
Description de la fonction : Permet l’exécution d’un programme externe (comme les commandes UNIX Shell ou CMD, etc.).
Niveau de danger : élevé
system()
Description de la fonction : Permet d’exécuter un programme externe et d’éjecter une sortie, similaire à passthru().
Niveau de danger : élevé
chroot()
Description de la fonction : Il peut modifier le répertoire racine de travail du processus PHP actuel, et il ne peut fonctionner que si le système prend en charge PHP en mode CLI, et cette fonction n’est pas applicable aux systèmes Windows.
Niveau de danger : élevé
scandir()
Description de la fonction : Liste les fichiers et répertoires dans un chemin spécifié.
Niveau de danger : Moyen
chgrp()
Description de la fonction : Modifier le groupe d’utilisateurs auquel appartient un fichier ou un répertoire.
Niveau de danger : élevé
chown()
Description de la fonction : Changer le propriétaire d’un fichier ou d’un répertoire.
Niveau de danger : élevé
shell_exec()
Description de la fonction : exécuter les commandes via le shell et renvoyer le résultat d’exécution sous forme de chaîne.
Niveau de danger : élevé
proc_open()
Description de la fonction : Exécuter une commande et ouvrir le pointeur du fichier pour la lecture et l’écriture.
Niveau de danger : élevé
proc_get_status()
Description de la fonction : Obtenez des informations sur le processus ouvert en utilisant proc_open().
Niveau de danger : élevé
error_log()
Description de la fonction : Envoyer des messages d’erreur à des emplacements spécifiés (fichiers).
Note de sécurité : Dans certaines versions de PHP, vous pouvez utiliser error_log() pour contourner le mode sans échec PHP,
Exécutez des commandes arbitraires.
Niveau de danger : faible
ini_alter()
Description de la fonction : C’est une fonction alias de la fonction ini_set(), qui a la même fonction que ini_set(). Voir ini_set() pour plus de détails.
Niveau de danger : élevé
ini_set()
Description de la fonction : Elle peut être utilisée pour modifier et définir les paramètres de configuration de l’environnement PHP.
Niveau de danger : élevé
ini_restore()
Description de la fonction : peut être utilisé pour restaurer les paramètres de configuration de l’environnement PHP à leurs valeurs initiales.
Niveau de danger : élevé
dl()
Description de la fonction : Charger un module externe PHP pendant l’exécution de PHP, pas au démarrage.
Niveau de danger : élevé
pfsockopen()
Description de la fonction : Établir une connexion persistante socket vers un domaine Internet ou UNIX.
Niveau de danger : élevé
syslog()
Description de la fonction : Appelle la fonction syslog() au niveau système du système UNIX.
Niveau de danger : Moyen
readlink()
Description de la fonction : Retourne le contenu du fichier cible vers lequel pointe la connexion du symbole.
Niveau de danger : Moyen
symlink()
Description de la fonction : Créer un lien symbolique dans un système UNIX.
Niveau de danger : élevé
Popeen()
Description de la fonction : Vous pouvez passer une commande dans les paramètres de popen() et exécuter le fichier ouvert par popen().
Niveau de danger : élevé
stream_socket_server()
Description de la fonction : Établir une connexion serveur Internet ou UNIX.
Niveau de danger : Moyen
putenv()
Description de la fonction : Utilisée pour modifier l’environnement du jeu de caractères système pendant que PHP fonctionne. Dans les versions PHP antérieures à la version 5.2.6, cette fonction peut être utilisée pour modifier l’environnement du jeu de caractères système, puis utiliser la commande sendmail pour envoyer des paramètres spéciaux afin d’exécuter la commande SHELL système.
Niveau de danger : élevé





Précédent:Multithreading Thread Le rôle important d’IsBackground pour les threads
Prochain:Fonctions de bibliothèque comparatives très utiles, un peu vagues lors de l’apprentissage, découvrez-les et partagez-les avec tout le monde

Articles connexes
Publié sur 24/09/2019 13:30:17 |
Merci propriétaire.
Démenti:
Tous les logiciels, supports de programmation ou articles publiés par Code Farmer Network sont uniquement destinés à l’apprentissage et à la recherche ; Le contenu ci-dessus ne doit pas être utilisé à des fins commerciales ou illégales, sinon les utilisateurs assumeront toutes les conséquences. Les informations sur ce site proviennent d’Internet, et les litiges de droits d’auteur n’ont rien à voir avec ce site. Vous devez supprimer complètement le contenu ci-dessus de votre ordinateur dans les 24 heures suivant le téléchargement. Si vous aimez le programme, merci de soutenir un logiciel authentique, d’acheter l’immatriculation et d’obtenir de meilleurs services authentiques. En cas d’infraction, veuillez nous contacter par e-mail.
Mail To:help@itsvse.com