Questo articolo è un articolo speculare di traduzione automatica, clicca qui per saltare all'articolo originale.

Architect_Programmer_Code Rete Agricola»Architetto Programmazione PHP Alcune funzioni PHP pericolose (disable_functions) che devono essere disabilitate...
Vista: 12646|Risposta: 2

Alcune funzioni pericolose per il PHP che devono essere disabilitate (disable_functions)

[Copiato link]
Pubblicato su 10/07/2015 20:28:51 | | | |

phpinfo()
Descrizione della funzione: Fornire informazioni sull'ambiente PHP e moduli correlati, ambiente WEB e altre informazioni.
Livello di pericolo: Medio

passthru()
Descrizione della funzione: Permette di eseguire un programma esterno ed esegue l'output, simile a exec().
Livello di pericolo: alto

exec()
Descrizione della funzione: Permette l'esecuzione di un programma esterno (come comandi UNIX Shell o CMD, ecc.).
Livello di pericolo: alto

system()
Descrizione della funzione: Permette di eseguire un programma esterno ed emettere l'output in eco, simile a passthru().
Livello di pericolo: alto

chroot()
Descrizione della funzione: Può cambiare la radice operativa del processo PHP corrente solo se il sistema supporta la modalità CLI
PHP, e questa funzione non funziona sui sistemi Windows.
Livello di pericolo: alto

scandir()
Descrizione della funzione: Elenca file e directory in un percorso specificato.
Livello di pericolo: Medio

chgrp()
Descrizione della funzione: Modifica il gruppo utenti a cui appartiene un file o una directory.
Livello di pericolo: alto

chown()
Descrizione della funzione: Cambia il proprietario di un file o di una directory.
Livello di pericolo: alto

shell_exec()
Descrizione della funzione: Eseguire comandi attraverso la shell e restituire il risultato dell'esecuzione come stringa.
Livello di pericolo: alto

proc_open()
Descrizione della funzione: Eseguire un comando e aprire il puntatore del file per la lettura e la scrittura.
Livello di pericolo: alto

proc_get_status()
Descrizione della funzione: Ottieni informazioni sul processo aperto usando proc_open().
Livello di pericolo: alto

error_log()
Descrizione della funzione: Inviare messaggi di errore a posizioni specifiche (file).
Nota di sicurezza: In alcune versioni di PHP, puoi usare error_log() per bypassare la modalità provvisoria PHP,
Esegui comandi arbitrari.
Livello di pericolo: basso

ini_alter()
Descrizione della funzione: è una funzione alias della funzione ini_set(), che ha la stessa funzione di ini_set().
Vedi ini_set() per i dettagli.
Livello di pericolo: alto

ini_set()
Descrizione della funzione: può essere utilizzata per modificare e impostare i parametri di configurazione dell'ambiente PHP.
Livello di pericolo: alto

ini_restore()
Descrizione della funzione: può essere utilizzata per ripristinare i parametri di configurazione dell'ambiente PHP ai loro valori iniziali.
Livello di pericolo: alto

dl()
Descrizione della funzione: Caricare un modulo esterno PHP durante l'esecuzione di PHP, non all'avvio.
Livello di pericolo: alto

pfsockopen()
Descrizione della funzione: Stabilire una connessione persistente socket a un dominio Internet o UNIX.
Livello di pericolo: alto

syslog()
Descrizione della funzione: Chiama la funzione syslog() a livello di sistema del sistema UNIX.
Livello di pericolo: Medio

readlink()
Descrizione della funzione: restituisce il contenuto del file di destinazione a cui punta la connessione del simbolo.
Livello di pericolo: Medio

symlink()
Descrizione della funzione: Creare un collegamento simbolico in un sistema UNIX.
Livello di pericolo: alto

Popen()
Descrizione della funzione: Puoi passare un comando attraverso i parametri di popen() ed eseguire il file aperto da popen().
Livello di pericolo: alto

stream_socket_server()
Descrizione della funzione: Stabilire una connessione Internet o server UNIX.
Livello di pericolo: Medio

putenv()
Descrizione della funzione: Utilizzata per modificare l'ambiente del set di caratteri di sistema mentre PHP è in esecuzione. Nelle versioni PHP precedenti alla 5.2.6, questa funzione può essere utilizzata
Dopo aver modificato l'ambiente del set di caratteri di sistema, si utilizza il comando sendmail per inviare parametri speciali per eseguire il comando SHELL di sistema.
Livello di pericolo: alto

Il metodo di disabilitazione è il seguente:
Apri il file /etc/php.ini,
Trova disable_functions e aggiungi il nome della funzione da disabilitate, come segue:
phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog, readlink, symlink, popepassthru, stream_socket_server, fsocket, fsockopen




Precedente:Il tuo sito Baidu si posiziona ancora?
Prossimo:In C#, nella nuova versione di Newtonsoft, Javascrip rimosse la soluzione alternativa che tConvert non riusciva a trovare

Post correlati
 Padrone di casa| Pubblicato su 10/07/2015 21:02:17 |
Se non disabiliti queste funzioni pericolose, puoi eseguire direttamente il comando shell, come mostrato nella figura seguente:

Ok
Pubblicato su 24/09/2019 13:29:45 |
Grazie padrone di casa.
Disconoscimento:
Tutto il software, i materiali di programmazione o gli articoli pubblicati dalla Code Farmer Network sono destinati esclusivamente all'apprendimento e alla ricerca; I contenuti sopra elencati non devono essere utilizzati per scopi commerciali o illegali, altrimenti gli utenti dovranno sostenere tutte le conseguenze. Le informazioni su questo sito provengono da Internet, e le controversie sul copyright non hanno nulla a che fare con questo sito. Devi eliminare completamente i contenuti sopra elencati dal tuo computer entro 24 ore dal download. Se ti piace il programma, ti preghiamo di supportare software autentico, acquistare la registrazione e ottenere servizi autentici migliori. In caso di violazione, vi preghiamo di contattarci via email.
Mail To:help@itsvse.com