|
|
Zverejnené 14. 12. 2015 22:34:33
|
|
|
Pri kompilácii PHP, ak nie je špeciálna potreba, je potrebné zakázať kompiláciu podpory parsovania PHP, ktorá generuje príkazové vzory CLI. Pri kompilácii môžete použiť –disable-CLI. Keď je PHP skompilované na generovanie CLI vzorov, môže ho narušiteľ zneužiť na nastavenie zadných vrátok v WEB Shell alebo na vykonanie ľubovoľného kódu cez PHP.
phpinfo()
Popis funkcie: Výstup informácií o PHP prostredí a súvisiacich moduloch, WEBOVÉ prostredie a ďalšie informácie.
Úroveň nebezpečenstva: Stredná
passthru()
Popis funkcie: Umožňuje spustiť externý program a odráža výstup, podobne ako exec().
Úroveň nebezpečenstva: vysoká
exec()
Popis funkcie: Umožňuje vykonávanie externého programu (napríklad príkazy UNIX Shell alebo CMD a pod.).
Úroveň nebezpečenstva: vysoká
system()
Popis funkcie: Umožňuje spustiť externý program a odraziť výstup, podobne ako passthru().
Úroveň nebezpečenstva: vysoká
chroot()
Popis funkcie: Môže zmeniť funkčný koreňový adresár aktuálneho PHP procesu a môže fungovať len v prípade, že systém podporuje CLI režim PHP, pričom táto funkcia nie je použiteľná pre Windows systémy.
Úroveň nebezpečenstva: vysoká
scandir()
Popis funkcie: Uvádza súbory a adresáre v určenej ceste.
Úroveň nebezpečenstva: Stredná
chgrp()
Popis funkcie: Zmeňte používateľskú skupinu, do ktorej súbor alebo adresár patrí.
Úroveň nebezpečenstva: vysoká
chown()
Popis funkcie: Zmeňte vlastníka súboru alebo adresára.
Úroveň nebezpečenstva: vysoká
shell_exec()
Popis funkcie: Vykonajte príkazy cez shell a vráťte výsledok vykonania ako reťazec.
Úroveň nebezpečenstva: vysoká
proc_open()
Popis funkcie: Spustiť príkaz a otvoriť ukazovateľ súboru na čítanie a zápis.
Úroveň nebezpečenstva: vysoká
proc_get_status()
Popis funkcie: Získajte informácie o procese otvorené pomocou proc_open().
Úroveň nebezpečenstva: vysoká
error_log()
Popis funkcie: Odosielanie chybových hlásení na určené miesta (súbory).
Bezpečnostná poznámka: V niektorých verziách PHP môžete použiť error_log() na obídenie núdzového režimu PHP,
Vykonávajte ľubovoľné príkazy.
Úroveň nebezpečenstva: nízka
ini_alter()
Popis funkcie: Je to alias funkcia funkcie ini_set(), ktorá má rovnakú funkciu ako ini_set(). Podrobnosti nájdete v ini_set().
Úroveň nebezpečenstva: vysoká
ini_set()
Popis funkcie: Môže sa použiť na úpravu a nastavenie konfiguračných parametrov PHP prostredia.
Úroveň nebezpečenstva: vysoká
ini_restore()
Popis funkcie: Môže sa použiť na obnovenie konfiguračných parametrov PHP prostredia na ich pôvodné hodnoty.
Úroveň nebezpečenstva: vysoká
dl()
Popis funkcie: Načítaj externý PHP modul počas behu PHP, nie pri štarte.
Úroveň nebezpečenstva: vysoká
pfsockopen()
Popis funkcie: Nadviazať trvalé pripojenie socketu k internetovej alebo UNIX doméne.
Úroveň nebezpečenstva: vysoká
syslog()
Popis funkcie: Volá systémovú syslog() funkciu systému UNIX.
Úroveň nebezpečenstva: Stredná
readlink()
Popis funkcie: Vráti obsah cieľového súboru, ku ktorému sa symbol pripája.
Úroveň nebezpečenstva: Stredná
symlink()
Popis funkcie: Vytvorte symbolické prepojenie v UNIX systéme.
Úroveň nebezpečenstva: vysoká
popen()
Popis funkcie: Môžete poslať príkaz cez parametre popen() a spustiť súbor otvorený pomocou popen().
Úroveň nebezpečenstva: vysoká
stream_socket_server()
Popis funkcie: Nadviazať pripojenie na internetový alebo UNIX server.
Úroveň nebezpečenstva: Stredná
putenv()
Popis funkcie: Používa sa na zmenu prostredia systémovej znakovej sady počas bežiaceho PHP. V PHP verziách starších ako verzia 5.2.6 je možné túto funkciu použiť na úpravu prostredia systémových znakov a potom pomocou príkazu sendmail odoslať špeciálne parametre na vykonanie príkazu systémového SHELL.
Úroveň nebezpečenstva: vysoká
|
Predchádzajúci:Vláknové viacvláknové spracovanie Dôležitá úloha IsBackground pre vláknaBudúci:Veľmi užitočné porovnávacie knižničné funkcie, trochu nejasné pri učení, zistite a zdieľajte so všetkými
|
Zverejnené 24. 9. 2019 13:30:17
