Este artigo é um artigo espelhado de tradução automática, por favor clique aqui para ir para o artigo original.

Architect_Programmer_Code Rede Agrícola»Arquiteto Programação PHP Análise completa de funções perigosas no PHP
Vista: 9719|Resposta: 1

Análise completa de funções perigosas no PHP

[Copiar link]
Publicado em 14/12/2015 22:34:33 | | |
Ao compilar PHP, se não houver necessidade especial, é necessário proibir a compilação de suporte à análise sintática PHP que gera padrões de linha de comando CLI. Você pode usar –disable-CLI em tempo de compilação. Uma vez que o PHP é compilado para gerar padrões de CLI, ele pode ser explorado por um intruso para configurar um processo backdoor do WEB Shell ou executar código arbitrário via PHP.
phpinfo()
Descrição da função: Produzir informações do ambiente PHP e módulos relacionados, ambiente WEB e outras informações.
Nível de perigo: Médio
passthru()
Descrição da função: Permite que um programa externo seja executado e ecoa a saída, semelhante ao exec().
Nível de perigo: alto
exec()
Descrição da função: Permite a execução de um programa externo (como comandos UNIX Shell ou CMD, etc.).
Nível de perigo: alto
system()
Descrição da função: Permite que um programa externo seja executado e emita uma saída com eco, semelhante ao passthru().
Nível de perigo: alto
chroot()
Descrição da função: Ele pode alterar o diretório raiz funcional do processo PHP atual, e só pode funcionar se o sistema suportar PHP no modo CLI, e essa função não for aplicável a sistemas Windows.
Nível de perigo: alto
Scandir()
Descrição da Função: Lista arquivos e diretórios em um caminho especificado.
Nível de perigo: Médio
chgrp()
Descrição da função: Alterar o grupo de usuários ao qual um arquivo ou diretório pertence.
Nível de perigo: alto
chown()
Descrição da função: Alterar o proprietário de um arquivo ou diretório.
Nível de perigo: alto
shell_exec()
Descrição da função: Executar comandos pelo shell e retornar o resultado da execução como uma string.
Nível de perigo: alto
proc_open()
Descrição da função: Execute um comando e abra o ponteiro de arquivo para leitura e escrita.
Nível de perigo: alto
proc_get_status()
Descrição da função: Obtenha informações sobre o processo aberto usando proc_open().
Nível de perigo: alto
error_log()
Descrição da função: Enviar mensagens de erro para locais especificados (arquivos).
Nota de segurança: Em algumas versões do PHP, você pode usar error_log() para burlar o modo seguro do PHP,
Execute comandos arbitrários.
Nível de perigo: baixo
ini_alter()
Descrição da função: É uma função alias da função ini_set(), que possui a mesma função que ini_set(). Veja ini_set() para detalhes.
Nível de perigo: alto
ini_set()
Descrição da função: Pode ser usada para modificar e definir parâmetros de configuração do ambiente PHP.
Nível de perigo: alto
ini_restore()
Descrição da função: Pode ser usada para restaurar parâmetros de configuração do ambiente PHP aos seus valores iniciais.
Nível de perigo: alto
dl()
Descrição da função: Carregar um módulo externo PHP durante a execução do PHP, não na inicialização.
Nível de perigo: alto
pfsockopen()
Descrição da função: Estabelecer uma conexão persistente de socket para um domínio da Internet ou UNIX.
Nível de perigo: alto
syslog()
Descrição da função: Chama a função syslog() em nível de sistema do sistema UNIX.
Nível de perigo: Médio
readlink()
Descrição da função: Retorna o conteúdo do arquivo de destino para o qual a conexão do símbolo aponta.
Nível de perigo: Médio
symlink()
Descrição da Função: Criar um link simbólico em um sistema UNIX.
Nível de perigo: alto
Popen()
Descrição da função: Você pode passar um comando pelos parâmetros do popen() e executar o arquivo aberto pelo popen().
Nível de perigo: alto
stream_socket_server()
Descrição da função: Estabelecer uma conexão de servidor com Internet ou UNIX.
Nível de perigo: Médio
putenv()
Descrição da função: Usada para alterar o ambiente do conjunto de caracteres do sistema enquanto o PHP está em execução. Nas versões do PHP anteriores à versão 5.2.6, essa função pode ser usada para modificar o ambiente do conjunto de caracteres do sistema e então usar o comando sendmail para enviar parâmetros especiais que executam o comando SHELL do sistema.
Nível de perigo: alto





Anterior:Multithreading O papel importante do IsBackground para threads
Próximo:Funções comparativas muito úteis da biblioteca, um pouco vago ao aprender, descubra e compartilhe com todos

Posts Relacionados
Publicado em 24/09/2019 13:30:17 |
Obrigado, proprietário.
Disclaimer:
Todo software, material de programação ou artigos publicados pela Code Farmer Network são apenas para fins de aprendizado e pesquisa; O conteúdo acima não deve ser usado para fins comerciais ou ilegais, caso contrário, os usuários terão todas as consequências. As informações deste site vêm da Internet, e disputas de direitos autorais não têm nada a ver com este site. Você deve deletar completamente o conteúdo acima do seu computador em até 24 horas após o download. Se você gosta do programa, por favor, apoie um software genuíno, compre o registro e obtenha serviços genuínos melhores. Se houver qualquer infração, por favor, entre em contato conosco por e-mail.
Mail To:help@itsvse.com