php为什么默认要禁用一些函数?
考虑到安全原因,一般这些被禁用的函数都是高危函数例如exec函数。
如果未被禁用,如果网络漏洞被利用,可进一步提权获取对计算机的控制,问题由网站层面上升到服务器层面,或者继续扩大,对这些函数进行禁用可以避开一些高危操作。
如何禁用?
打开PHP.INI,找到这行:
disable_functions =
在后面那里加上要禁用的函数,如禁用多个函数,要用半角逗号 , 分开
给个例子:
disable_functions = passthru,exec,system,popen,chroot,scandir,chgrp,chown,escapesh
ellcmd,escapeshellarg,shell_exec,proc_open,proc_get_status
哪些函数需要禁用?
phpinfo()
功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。
危险等级:中
passthru()
功能描述:允许执行一个外部程序并回显输出,类似于 exec()。
危险等级:高
exec()
功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。
危险等级:高
system()
功能描述:允许执行一个外部