|
При компиляции PHP, если нет особой необходимости, необходимо запретить компиляцию поддержки парсинга PHP, которая генерирует шаблоны командной строки CLI. Вы можете использовать –disable-CLI во время компиляции. После компиляции PHP для генерации CLI-паттернов его может использовать злоумышленник для установки бэкдор-процесса WEB Shell или выполнения произвольного кода через PHP. phpinfo() Описание функции: вывод информации о среде PHP и сопутствующих модулях, WEB-среде и другой информации. Уровень опасности: средний passthru() Описание функции: Позволяет выполнять внешнюю программу и эхо на выходе, аналогично exec(). Уровень опасности: высокий exec() Описание функции: Позволяет выполнять внешнюю программу (такую как UNIX Shell или команды CMD и т.д.). Уровень опасности: высокий system() Описание функции: Позволяет выполнять внешнюю программу и эхо выходить на вывод, аналогично passthru(). Уровень опасности: высокий chroot() Описание функции: Он может менять рабочую корневую директорию текущего PHP-процесса и работает только если система поддерживает PHP в режиме CLI, и эта функция неприменима к системам Windows. Уровень опасности: высокий scandir() Описание функции: Перечисляет файлы и каталоги по заданному пути. Уровень опасности: средний chgrp() Описание функции: Измените группу пользователей, к которой относится файл или каталог. Уровень опасности: высокий chown() Описание функции: Изменение владельца файла или каталога. Уровень опасности: высокий shell_exec() Описание функции: Выполнять команды через оболочку и возвращать результат выполнения в виде строки. Уровень опасности: высокий proc_open() Описание функции: выполните команду и откройте указатель файла для чтения и записи. Уровень опасности: высокий proc_get_status() Описание функции: Получите информацию о процессе, открытом с помощью proc_open(). Уровень опасности: высокий error_log() Описание функции: Отправлять сообщения об ошибке в указанные места (файлы). Примечание по безопасности: в некоторых версиях PHP можно использовать error_log() для обхода безопасного режима PHP,
Выполняйте произвольные команды. Уровень опасности: низкий ini_alter() Описание функции: Это псевдоним-функция функции ini_set(), которая выполняет ту же функцию, что и ini_set(). См. ini_set() для подробностей. Уровень опасности: высокий ini_set() Описание функции: Можно использовать для изменения и настройки параметров конфигурации среды PHP. Уровень опасности: высокий ini_restore() Описание функции: Можно использовать для восстановления параметров конфигурации среды PHP до их начальных значений. Уровень опасности: высокий dl() Описание функции: Загружайте внешний модуль PHP во время выполнения PHP, а не при запуске. Уровень опасности: высокий pfsockopen() Описание функции: Установите сокетное постоянное соединение с Интернетом или UNIX-доменом. Уровень опасности: высокий syslog() Описание функции: вызывает системную функцию syslog() системы UNIX. Уровень опасности: средний Readlink() Описание функции: Возвращает содержимое целевого файла, к которому указывает соединение символа. Уровень опасности: средний symlink() Описание функции: Создайте символическую ссылку в UNIX-системе. Уровень опасности: высокий popen() Описание функции: Вы можете пропустить команду через параметры popen() и выполнить файл, открытый popen(). Уровень опасности: высокий stream_socket_server() Описание функции: Установить подключение к серверу в Интернет или UNIX. Уровень опасности: средний putenv() Описание функции: используется для изменения среды системного набора символов во время работы PHP. В версиях PHP до версии 5.2.6 эта функция может использоваться для изменения среды системного набора символов, а затем использовать команду sendmail для отправки специальных параметров для выполнения команды системного SHELL. Уровень опасности: высокий
| 
Опубликовано 24.10.2014 14:32:39
|
|
|
