Linux维护安全-PHP安全-php高危函数禁用-php必需禁用的最高危函数总结-必禁

已于 2023-05-18 22:32:46 修改
阅读量768 收藏
点赞数
文章标签: php linux 安全
于 2023-05-18 22:27:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dujiangdu123/article/details/130756222
版权

Linux维护安全-PHP安全-php高危函数禁用-php必需禁用的最高危函数总结,优雅草松鼠蜻蜓系统安装必须开启proc_open,putenv,但是希望大家在安装完成后一定要禁用。

必须禁用的高危函数:

system,exec,passthru,shell_exec,popen,proc_open,putenv

分别说说这几个函数:

php提供了system(),exec(),passthru()这几个函数来调用外部的命令.

区别:
system() 输出并返回最后一行shell结果。
exec() 不输出结果,返回最后一行shell结果,所有结果可以保存到一个返回的数组里面。
passthru() 只调用命令,把命令的运行结果原样地直接输出到标准输出设备上。
相同点:都可以获得命令执行的状态码

shell_exec()

功能描述:通过 Shell 执行命令,并将执行结果作为字符串返回。

proc_open()

功能描述:执行一个命令并打开文件指针用于读取以及写入。

关于putenv函数

在PHP中可以查看的环境变量包括:

电脑环境变量

服务器环境变量

getenv()函数获取一个环境变量的值.参数1是环境变量的key,参数2值为true的时候仅从你的电脑环境变量中查找,参数2值为false会从两种变量中全部查询

//获取我电脑登录的用户名,输出Administrator
$username = getenv('USERNAME');
var_dump($username);

putenv()函数设置环境变量的值,设置后新增到服务器环境变量

//设置环境变量PHPUSERNAME的值为gaojiufeng
putenv('PHPUSERNAME=gaojiufeng');

禁用方法:

1,编辑php.ini

【disable_functions】

disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,popen,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv

在后面添加这几项即可。

2,如有宝塔直接在禁用函数处删除。

优雅草·央千澈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
一些需要禁用PHP危险函数(disable_functions)
10-28
有时候为了安全我们需要禁掉一些PHP危险函数,整理如下需要的朋友可以参考下
PHP代码审计-常见危险函数
灰蜗牛
09-20 6804
PHP代码执行函数eval & assert & preg_replace 包含函数:require、include、require_once、include_once 命令执行函数exec、system、passthru、proc_openshell_exec、system 文件操作函数:file、copy、file_get_contents、file_put_contents、fopen等 特殊函数
PHP中16个高危函数整理
10-16
在本篇文章里小编给大家整理了一些关于PHP中16个高危函数的知识点内容,有需要的朋友们可以参考下。
安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip
12-07
安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip
细数PHP中16个高危函数
weixin_44056915的博客
09-19 218
高危函数主要是指业界已经明确的存在安全隐患的函数。系统安全漏洞往往来源于程序中,使用高危函数对来自网络报文的不严谨处理。 php中内置了许许多多的函数,在它们的帮助下可以使我们更加快速的进行开发和维护,但是这个函数中依然有许多的函数伴有高风险的,比如说一下的16个函数不到万不得已不尽量不要使用,因为许多“高手”可以通过这些函数抓取你的漏洞。 passthru() 功能描述:允许执行一个外部程序并...
冰蝎php木马修改,冰蝎动态二进制加密WebShell的检测
weixin_42442958的博客
04-09 2429
中国菜刀等工具管理WebShell的时候会有一些固定的特征,容易被waf或者IPS检测到,最近1年出来了个动态加密的WebShell管理工具,给检测带来了一定的困难,所以写个文章简单解剖一下注:本文只针对当前的最新版冰蝎(Behinder) v2.0.1,以php webshell为例,其他webshell只是有细微的差别,有兴趣可以自行研究实验环境客户端: windows 7 + 冰蝎(Behi...
PHP中的危险函数全解析
★昔梦无痕★
08-12 1321
在编译 PHP 时,如无特殊需要,一定禁止编译生成 CLI 命令行模式的 PHP 解析支持。可在编译时使用 –disable-CLI。一旦编译生成 CLI 模式的PHP,则可能会被入侵者利用该程序建立一个WEB Shell 后门进程或通过PHP 执行任意代码。phpinfo()功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。危险等级:中passthru()功
常见webshell流量分析
学生
06-27 1272
鐜鍙橀噺:
PHP危险函数被禁止怎么绕过,禁用PHP危险函数
weixin_30325875的博客
03-10 390
禁用PHP危险函数是必要的。前些天由于我的疏忽没禁用fsockopen函数,被人利用进行PHPDDOS攻击,导致服务器被机房关机。编辑 php.ini搜索 disable_functions =如果前面有 “#” 就去掉,添加需要禁用函数,以下供参考:disable_functions = phpinfo,system,exec,shell_exec,passthru,proc_open,pr...
NSSCTF做题(9)
wwwwyyyrre的博客
10-14 535
看见输入框而且有提示说是ssti注入输入{{7*7}} 试试,发现报错 输入{%%}发现了是jinja2模板 找到关键函数Python SSTI利用jinja过滤器进行Bypass · ph0ebus's Blog 原理见这篇文章,这里直接给出payload第二种:文件包含 过滤了很多东西,基本的伪协议都用不了了,这里涉及到一个没遇到过的文件包含---日志包含日志包含漏洞-CSDN博客看到了服务器是nginx 抓包访问: 由本地日志文件可以看到nginx服务器中记录的是每次请求user-agent报文,那么
网络安全应急演练脚本之-win10系统防火墙禁用高危端口
11-28
网络安全应急演练脚本:禁用win10系统防火墙高危端口脚本。双击即用
PHPvod视频点播系统 2.6 for php5.3.x utf-8.rar
05-24
1、修正所有已知的BUG及系统高危漏洞. 2、优化监听器模块 3、新增文档模块及文档调用标签 4、优化RSS模块 5、新增播放地址预处理接口(pv_edit_urlinfo) 6、其它页面细节调整 特点: Phpvod从创立之初即以...
PHP危险函数总结学习
weixin_30376453的博客
08-19 292
1.PHP中代码执行的危险函数 call_user_func() 第一个参数 callback 是被调用的回调函数,其余参数是回调函数的参数。 传入call_user_func()的参数不能为引用传递 call_user_func($_GET['1'],$_GET['2']); codeexec.php?1=assert&2=phpinfo() call_user_...
浅析命令执行漏洞
weixin_45349299的博客
12-01 595
title: 浅析命令执行漏洞tags: 漏洞categories: 学习笔记。
安全测试之命令执行漏洞【建议收藏】
HSS919的博客
03-16 197
命令执行漏洞就是服务器端没有对客户端用户输入的命令进行过滤,导致用户可以通过任意拼接系统命令,使服务器端成功执行任意系统命令。为什么客户端能直接对服务器执行命令呢,因为在服务器安装的web程序,web框架和web组件等外部程序有时候去需要调用执行命令的函数,所以如果没有对客户端用户输入的命令进行过滤,就会使得用户通过外部程序直接编写和执行系统的命令函数
解决PHP Warning: putenv() has been disabled for security reasons in phar:
程序员老狼专注开发aigc或客服系统应用
07-21 2883
在使用composer的时候报一下错误,这是因为php禁用了putenv() 函数 PHP Warning: putenv() has been disabled for security reasons in phar:///usr/bin/composer/vendor/composer/xdebug-handler/src/Process.php on line 97 Warning: p...
流量加密怎么办?主流webshell管理工具流量解密分析【附解密脚本】
C20220511的博客
07-19 2033
本文基于冰蝎Behinder_v3.0.11和哥斯拉v4.00-godzilla,对它们的加解密方式进行识别和分析【附简易解密脚本】,希望能在行动中助大家一臂之力。
解决:shell_exec()无法使用,shell_exec()被禁用
weixin_34406061的博客
12-27 6704
文章来源:https://www.onepound.cn/yc/?p=9257 最近刚买了一个新空间,网站上线后发现总是出现以下警告: Warning: shell_exec() has been disabled for security reasons in/home/shoesnba/public_html/redsoleshoeses.com/includes/function...
php利用阿里云短信SDK实现短信发送功能
最新发布
赛时科技
05-02 963
在阿里云控制台的AccessKey管理中,创建或查看AccessKey ID和AccessKey Secret,这是用于API调用的身份凭证。用户在前端接收到短信验证码后,需要在你的系统中进行验证。在实际部署之前,确保在测试环境中充分测试你的短信验证码登录功能。首先,你需要有一个阿里云账号,并在阿里云控制台中开通短信服务(Dysmsapi)。你可以使用Composer来安装阿里云短信服务的PHP SDK。在PHP中,你需要编写一个函数来调用阿里云短信服务API发送短信验证码。
mysql8.0的高危漏洞 CVE-2023-21980
05-17
对于 CVE-2023-21980 这个漏洞,实际上是不存在的,因为时间还没有到2023年。可能是您打错了数字,如果是想问 MySQL 8.0 存在的高危漏洞,目前已知的高危漏洞有: 1. CVE-2020-14883:攻击者可以通过网络访问 MySQL 服务器,利用该漏洞执行授权的任意代码。 2. CVE-2021-2022:攻击者可以通过网络访问 MySQL 服务器,利用该漏洞绕过身份验证并以管理员身份执行任意 SQL 查询。 建议及时更新 MySQL 8.0 版本,或者采取其他安全措施保护您的数据库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

优雅草·央千澈

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值