PHP中16个高危函数

最新推荐文章于 2024-04-15 11:02:50 发布
最新推荐文章于 2024-04-15 11:02:50 发布
阅读量692 收藏 2
点赞数 1
分类专栏: PHP 文章标签: php
原文链接:http://www.kaotop.com/it/263555.html
版权

php中内置了许许多多的函数,在它们的帮助下可以使我们更加快速的进行开发和维护,但是这个函数中依然有许多的函数伴有高风险的,比如说一下的16个函数不到万不得已不尽量不要使用,因为许多“高手”可以通过这些函数抓取你的漏洞。

1、passthru()

功能描述:允许执行一个外部程序并回显输出,类似于 exec()。

危险等级:高

2、exec()

功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。

危险等级:高

3、system()

功能描述:允许执行一个外部程序并回显输出,类似于 passthru()。

危险等级:高

4、chroot()

功能描述:可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式

PHP 时才能工作,且该函数不适用于 Windows 系统。

危险等级:高

5、chgrp()

功能描述:改变文件或目录所属的用户组。

危险等级:高

6、chown()

功能描述:改变文件或目录的所有者。

危险等级:高

7、shell_exec()

功能描述:通过 Shell 执行命令,并将执行结果作为字符串返回。

危险等级:高

8、proc_open()

功能描述:执行一个命令并打开文件指针用于读取以及写入。

危险等级:高

9、proc_get_status()

功能描述:获取使用 proc_open() 所打开进程的信息。

危险等级:高

10、ini_alter()

功能描述:是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同。

具体参见 ini_set()。

危险等级:高

11、ini_set()

功能描述:可用于修改、设置 PHP 环境配置参数。

危险等级:高

12、ini_restore()

功能描述:可用于恢复 PHP 环境配置参数到其初始值。

危险等级:高

13、dl()

功能描述:在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块。

危险等级:高

14、pfsockopen()

功能描述:建立一个 Internet 或 UNIX 域的 socket 持久连接。

危险等级:高

15、popen()

功能描述:可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。

危险等级:高

16、putenv()

功能描述:用于在 PHP 运行时改变系统字符集环境。在低于 5.2.6 版本的 PHP 中,可利用该函数

修改系统字符集环境后,利用 sendmail 指令发送特殊参数执行系统 SHELL 命令。

危险等级:高

以上就是PHP中16个高危函数的详细内容,更多请关注考高分网其它相关文章!

文章转自:PHP中16个高危函数PHP中16个高危函数php中内置了许许多多的函数,在它们的帮助下可以使我们更加快速的进行开发和维护,但是这个函数中依然有许多的函数伴有高风险的,比如说一下的16个函数不到万不得已不尽量不要使用,因为许多“高手”可以通过这些函数抓取你的漏洞。1、passthruhttp://www.kaotop.com/it/263555.html

luo2424348224
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP16个高危函数整理
10-16
以下是对PHP16个高危函数的详细解释: 1. **passthru()**:此函数会执行一个外部程序并将所有标准输出直接传递给浏览器,无任何处理。如果恶意用户控制了输入,可能会导致命令注入攻击。 2. **exec()**:与...
PHP的危险函数全解析
★昔梦无痕★
08-12 1331
在编译 PHP 时,如无特殊需要,一定禁止编译生成 CLI 命令行模式的 PHP 解析支持。可在编译时使用 –disable-CLI。一旦编译生成 CLI 模式的PHP,则可能会被入侵者利用该程序建立一个WEB Shell 后门进程或通过PHP 执行任意代码。phpinfo()功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。危险等级:passthru()功
解决PHP Warning: putenv() has been disabled for security reasons in phar:
程序员老狼专注开发aigc或客服系统应用
07-21 3174
在使用composer的时候报一下错误,这是因为php禁用了putenv() 函数 PHP Warning: putenv() has been disabled for security reasons in phar:///usr/bin/composer/vendor/composer/xdebug-handler/src/Process.php on line 97 Warning: p...
php putenv lang,PHP putenv 用法 手册 | 示例代码
weixin_32974061的博客
03-18 503
Environment variables are part of the underlying operating system'sway of doing things, and are used to pass information between a parentprocess and its child, as well as to affect the way some intern...
常见的 PHP 危险函数
认真走好每一小步
07-19 777
代码执行函数、命令执行函数
常见危险函数及特殊函数(一)
gl620321的博客
07-28 4448
一、PHP代码执行函数 1.PHP代码执行函数-eval & assert & preg_replace 2. 3. 输出结果 执行结果 正常调用 回调函数 二、包含函数 三、命令执行函数 四、文件操作函数 五、特殊函数 ...
*【内置】总结持续更新--php常用内置函数
西瓜的博客
11-04 2080
使用思路:根据功能找函数,如 要做个文件管理器的话,首先确定使用和目录/文件相关的函数,画出来html页面看都有什么功能,再一次分析这些功能的实现 常量 手册的位置:附录-》保留字列表-》预定义常量 1、PHP_EOL //换行 2、PHP_SAPI //判断是使用命令行还是浏览器执行的,如果 PHP_SAPI==’cli’ 表示是在命令行下执行 和php_sapi_name...
PHP反序列化漏洞初窥1
08-03
1、反序列化变量可控 2、程序上下文已定义类存在__wakeup()等魔术方法 3、该魔术方法调用了系统命令执行、文件操作等高危函数且引入了可控反序列化对
phpshell_execv01:用于WebServer远程shell,上传等的简单PHP Shell
02-12
- 使用安全模式或者禁用`shell_exec()`等高危函数。 - 使用沙盒环境执行命令,限制其对系统的访问权限。 - 定期审计和监控服务器日志,及时发现异常行为。 6. **代码审查** 在使用类似`phpshell_execv01`的工具...
组件攻击链ThinkCMF高危漏洞分析与利用1
08-03
通过对公开数据的分析,我们可以看到一系列高危漏洞主要存在于ThinkCMF X2.x系列,包括任意文件删除、SQL注入等。这些漏洞如CVE-2018-16141、CVE-2018-19894至CVE-2018-19898,均可能导致严重的安全风险,威胁到...
PHP常见的漏洞分析
m0_63917373的博客
09-27 1151
PHP常见漏洞分析
PHP危险函数解析:保护程序免受攻击
Sgirll的博客
06-08 950
PHP 有一些函数是比较危险的,也是进行PHP 代码审计的时候需要重点关注的内容。
禁止不安全的php函数(php.ini)
huike008的博客
12-29 715
为了使php程序更安全,很多站长都选择了禁用一些比较敏感的函数,那影响php安全的函数到底有哪些呢,下面我们列出了一些:1、phpinfo() 功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。 危险等级:2、passthru() 功能描述:允许执行一个外部程序并回显输出,类似于 exec()。 危险等级:高3、exec() 功能描述:允许执行一个外部程序(如 UNI...
php命令的漏洞,PHP命令执行漏洞初探
weixin_31414515的博客
03-19 682
标签:PHP命令执行漏洞初探PHP 命令执行PHP提供如下函数用于执行外部应用程序;例如:system()、shell_exec()、exec()、passthru()system()$host = $argv[1];system("ping ".$host);?>在服务端运行php.exe index.php 192.168.2.1执行php.exe index.php "|net use...
PHP的16个危险函数
滴水石穿
08-14 829
php内置了许许多多的函数,在它们的帮助下可以使我们更加快速的进行开发和维护,但是这个函数依然有许多的函数伴有高风险的,比如说一下的16个函数不到万不得已不尽量不要使用,因为许多“高手”可以通过这些函数抓取你的漏洞。功能描述:可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。功能描述:是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同。功能描述:允许执行一个外部程序并回显输出,类似于 passthru()。具体参见 ini_set()。
php危险函数总结
我是齐潇啊
03-28 5475
php危险函数笔记总结以及实操结果
常见危险函数总结
最新发布
小小小屿屿屿的博客
04-15 1227
本文总结了常见的Web型漏洞的高危函数
Windows 和 Linux 下 Composer 的安装及配置
Jack_num1的博客
10-26 755
Composer安装 介绍: Composer 是 PHP 用来管理依赖( dependency )关系的工具。你可以在自己的项目声明所依赖的外部工具库( libraries ), Composer 会帮您安装这些依赖的库文件。 (一)Window安装 1.1 下载Composer Composer官网下载Composer.exe应用 1.2 安装Composer 下载的版本为最新的Composer版本并且会自动设置PATH环境变量,这样您就可以从任何目录调用Composer 根据本地php
PHP】Warning: putenv() has been disabled for security reasons in phar报错解决(保姆级图文)
MZH
03-26 6438
PHP】Warning: putenv() has been disabled for security reasons in phar报错解决(保姆级图文) 报错效果 报错原因 解决方法修改php.ini配置 总结
linux所有的高危端口
05-31
以下是一些常见的高危端口列表,这些端口可能会被黑客用于攻击、利用漏洞或窃取敏感信息: - 20、21端口:FTP服务端口,可能会导致远程文件上传和下载,存在安全风险。 - 22端口:SSH服务端口,如果没有正确配置安全措施,可能会导致远程暴力破解。 - 23端口:Telnet服务端口,因为Telnet是明文传输,所有的数据都是明文的,所以非常容易被窃取。 - 25端口:SMTP服务端口,因为SMTP是邮件传输协议,可以用于发送垃圾邮件或进行欺诈活动。 - 53端口:DNS服务端口,可能会被黑客用于DNS欺骗攻击。 - 80、443端口:Web服务端口,可能会被黑客用于Web应用程序攻击,如SQL注入、跨站点脚本(XSS)和跨站点请求伪造(CSRF)等攻击。 - 110、143端口:邮件服务端口,可能会被黑客用于窃取敏感信息、发送恶意邮件等攻击。 - 135、137、138、139、445端口:Windows文件共享服务端口,可能会被攻击者用于远程执行代码、窃取敏感数据等攻击。 - 1433、3306端口:数据库服务端口,可能会被攻击者用于SQL注入攻击、窃取敏感数据等攻击。 - 1521端口:Oracle数据库服务端口,可能会被攻击者用于窃取敏感数据等攻击。 - 3389端口:Windows远程桌面服务端口,可能会被攻击者用于远程攻击、窃取敏感数据等攻击。 - 5900、5901端口:VNC服务端口,可能会被攻击者用于远程攻击、窃取敏感数据等攻击。 - 873端口:rsync服务端口,可能会被攻击者用于未授权访问、窃取敏感数据等攻击。 - 9090端口:Tomcat等Java Web服务端口,可能会被黑客用于Web应用程序攻击,如SQL注入、跨站点脚本(XSS)和跨站点请求伪造(CSRF)等攻击。 需要注意的是,这只是一些常见的高危端口,实际上还有很多其他的高危端口,具体还要根据不同的应用场景和安全需求来确定。同时,对于这些高危端口,我们应该采取一些安全措施,如限制远程访问、使用防火墙、禁用不必要的服务等,以提高系统安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值