この記事は機械翻訳のミラー記事です。元の記事にジャンプするにはこちらをクリックしてください。

Architect_Programmer_Code農業ネットワーク»建築家 プログラミング PHP 無効化が必要なPHPの危険な機能(disable_functions)もあります...
眺める: 12646|答える: 2

無効化が必要なPHPの危険な機能の一部(disable_functions)

[リンクをコピー]
掲載地 2015/07/10 20:28:51 | | | |

phpinfo()
関数説明:PHP環境情報および関連モジュール、WEB環境およびその他の情報を出力します。
危険度レベル:中程度

パススルー()
関数説明:exec()と同様に、外部プログラムの実行と出力のエコーを許可します。
危険度:高い

exec()
関数記述:UNIXシェルやCMDコマンドなどの外部プログラムの実行を可能にします。
危険度:高い

system()
関数説明:外部プログラムの実行とエコー出力を可能にし、passthru()に似ています。
危険度:高い

chroot()
関数の説明:システムがCLIモードをサポートしている場合に限り、現在のPHPプロセスの作業ルートを変更できます
PHPで、この機能はWindowsシステムでは動作しません。
危険度:高い

スカンディア()
関数説明:指定されたパス内のファイルとディレクトリを一覧化します。
危険度レベル:中程度

CHGRP()
関数説明:ファイルやディレクトリが属するユーザーグループを変更します。
危険度:高い

チャウン()
関数説明:ファイルやディレクトリの所有者を変更する。
危険度:高い

shell_exec()
関数の説明:シェルを通じてコマンドを実行し、実行結果を文字列として返します。
危険度:高い

proc_open()
関数の説明:コマンドを実行し、ファイルポインタを開いて読み書きを行います。
危険度:高い

proc_get_status()
関数説明:proc_open()を使って開いたプロセスに関する情報を得ることができます。
危険度:高い

error_log()
機能説明:指定された場所(ファイル)にエラーメッセージを送信します。
安全対策:一部のPHPバージョンでは、error_log()を使ってPHPセーフモードを回避できます。
任意の命令を実行してください。
危険度:低い

ini_alter()
関数の説明:これはini_set()関数の別名関数であり、ini_set()と同じ機能を持ちます。
詳細はini_set()を参照してください。
危険度:高い

ini_set()
関数の説明:PHP環境の設定パラメータを修正・設定するために使用できます。
危険度:高い

ini_restore()
関数の説明:PHP環境の設定パラメータを初期値に復元するために使用できます。
危険度:高い

dl()
関数説明:PHPランタイム中にPHP外部モジュールをロードし、起動時ではありません。
危険度:高い

pfsockopen()
機能説明:インターネットまたはUNIXドメインへのソケット永続接続を確立します。
危険度:高い

syslog()
関数説明:UNIXシステムのシステムレベルのsyslog()関数を呼び出します。
危険度レベル:中程度

readlink()
関数説明:シンボル接続が指す対象ファイルの内容を返します。
危険度レベル:中程度

シンムリンク()
関数説明:UNIXシステム内でシンボリックリンクを作成します。
危険度:高い

popen()
関数の説明:popen()のパラメータにコマンドを通し、popen()で開いたファイルを実行できます。
危険度:高い

stream_socket_server()
機能説明:インターネットまたはUNIXサーバー接続を確立します。
危険度レベル:中程度

putenv()
関数説明:PHPが動作している間にシステムの文字セット環境を変更するために使用されます。 5.2.6以前のPHPバージョンでは、この関数が利用可能です
システムの文字セット環境を変更した後、sendmailコマンドを使って特別なパラメータを送信し、システムのSHELLコマンドを実行します。
危険度:高い

無効化方法は以下の通りです:
/etc/php.iniファイルを開いてください。
disable_functionsを見つけて、無効化する関数名を追加してください。以下のように。
phpinfo、eval、passthru、exec、system、chroot、scandir、chgrp、chown、shell_exec、proc_open、proc_get_status、ini_alter、ini_alter、ini_restore、dl、pfsockopen、openlog、syslog、 readlink、symlink、popepassthru、stream_socket_server、fsocket、fsockopen




先の:あなたのウェブサイトBaiduはまだランキングされていますか?
次に:C#のNewtonsoftの新バージョンでは、JavascripがtConvertが見つけられなかった回避策を削除しました

関連記事
 地主| 掲載地 2015/07/10 21:02:17 |
これらの危険な機能を無効化しなければ、以下の図のようにシェルコマンドを直接実行できます。

掲載地 2019/09/24 13:29:45 |
ありがとうございます、大家さん。
免責事項:
Code Farmer Networkが発行するすべてのソフトウェア、プログラミング資料、記事は学習および研究目的のみを目的としています。 上記の内容は商業的または違法な目的で使用されてはならず、そうでなければ利用者はすべての結果を負うことになります。 このサイトの情報はインターネットからのものであり、著作権紛争はこのサイトとは関係ありません。 ダウンロード後24時間以内に上記の内容を完全にパソコンから削除してください。 もしこのプログラムを気に入ったら、正規のソフトウェアを支持し、登録を購入し、より良い本物のサービスを受けてください。 もし侵害があれば、メールでご連絡ください。
Mail To:help@itsvse.com