php禁用一些危险函数

最新推荐文章于 2022-06-02 15:15:06 发布
最新推荐文章于 2022-06-02 15:15:06 发布
阅读量475 收藏
点赞数
分类专栏: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36607076/article/details/104779319
版权

打开php.ini文件,
查找到 disable_functions ,修改为:
disable_functions=pathinfo,eval,passthru,exec,assert,system,chroot,chgrp,chown,shell_exec,proc_open,ini_restore,dl,readlink,symlink,popen,stream_socket_server,pfsockopen,putenv
如果eval禁用不了,借助:php Suhosin。

禁用的方法可以根据自己的环境来,其实curl_exec(),fopen(),file_get_contents()等都是很危险的,还有一些目录浏览的方法,酌情考虑

Charles D
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php开启安全模式后禁用函数集合
01-20
复制代码 代码如下: <?php ini_set(“safe_mode”,true); ?> 表 42-2. 安全模式限制函数 函数名 限制 dbmopen() 检查被操作的文件或目录是否与正在执行的脚本有相同的 UID(所有者)。 dbase_open() 检查被操作的文件或目录是否与正在执行的脚本有相同的 UID(所有者)。 filepro() 检查被操作的文件或目录是否与正在执行的脚本有相同的 UID(所有者)。 filepro_rowcount() 检查被操作的文件或目录是否与正在执行的脚本有相同的 UID(所有者)。 filepro_retrieve() 检
一些需要禁用PHP危险函数(disable_functions)
10-28
以下是一些常见的需要禁用PHP危险函数及其详细解释: 1. `phpinfo()`: 这个函数会输出关于PHP环境的详细信息,包括服务器配置、模块版本等,暴露过多系统信息可能增加被攻击的风险。 2. `passthru()`: 它允许...
PHP禁用函数
index_ling的博客
06-26 2509
配置php环境的时候往往都会写phpinfo();这个函数来测试php环境是否安装成功,但往往这个函数也会给系统带来安全隐患,所以要关掉这个函数。 修改php.ini文件,找到disable_functions,将禁用函数phpinfo 写到后边,只写函数名字。
PHP中的危险函数全解析
★昔梦无痕★
08-12 1327
在编译 PHP 时,如无特殊需要,一定禁止编译生成 CLI 命令行模式的 PHP 解析支持。可在编译时使用 –disable-CLI。一旦编译生成 CLI 模式的PHP,则可能会被入侵者利用该程序建立一个WEB Shell 后门进程或通过PHP 执行任意代码。phpinfo()功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。危险等级:中passthru()功
PHP建议禁用危险函数
zc520yzy的博客
05-01 546
PHP配置文件中的disable_functions选项能够在PHP禁用指定的函数PHP中有很多危险的内置功能函数,如果使用不当,可造成系统崩溃。禁用函数可能会为研发带来不便,但禁用函数太少又可能增加研发人员写出不安全代码的概率,同时为黑客非法获取服务器权限提供遍历。 在PHP配置文件中添加需要禁用函数可以有效避免webshell。在PHP中配置如下: disable_functi...
php禁用函数设置及查看方法详解
xiguatony的博客
12-28 5036
本文实例讲述了php禁用函数设置及查看方法。分享给大家供大家参考,具体如下: 打开PHP.INI,找到这行: disable_functions = 在后面那里加上要禁用函数,如禁用多个函数,要用半角逗号 , 分开 给个例子: disable_functions = passthru,exec,system,popen,chroot,scandir,chgrp,chown,escap...
PHP 危险函数解释 分析
10-30
PHP编程中,有一些函数由于其特殊的性质,可能被恶意用户利用来执行危险操作,因此被称为“危险函数”。这些函数如果被不小心或者未经授权地使用,可能导致严重的安全问题,例如执行任意系统命令、泄露敏感信息...
php函数禁用绕过的原理与利用1
08-03
PHP中,`disable_functions`配置选项用于禁用某些被认为不安全或潜在危险函数,以提高系统的安全性。然而,安全措施往往伴随着绕过的方法,本文主要探讨如何理解和利用`disable_functions`禁用机制的原理,以及...
PHP中exec函数和shell_exec函数的区别
10-25
主要介绍了PHP中exec函数和shell_exec函数的区别,这两个函数是非常危险函数,一般情况都是被禁用的,当然特殊情况下也会使用,需要的朋友可以参考下
php.ini安全配置禁用危险函数open_basedir防止跨目录
赵一舟的博客
01-29 7152
disable_functions = phpinfo,chroot,chown,chmod,system,shell_exec,passthru,exec,assert,pcntl_exec,proc_open,``,phpfunc,proc_get_status,chgrp,popen,get_cfg_var ; ###################### 禁用危险函数 BEGIN ###...
宝塔面板安装composer后报错解决方法
黄昏后的救赎的博客
06-02 1172
解决方法在宝塔软件商店找到php->设置->禁用函数 删除以下函数 putenv 、 pcntl_signal 、 proc_open, 删除这三个函数就行了
php删除禁用函数,PHP如何禁用函数
weixin_36176386的博客
03-16 1843
PHP如何禁用函数?,函数,字符,多个,英文,逗号PHP如何禁用函数?易采站长站,站长之家为您整理了PHP如何禁用函数?的相关内容。PHP如何禁用函数PHP禁用函数的方法:首先打开“php.ini”配置文件;然后查找字符“disable_functions”,该字符是PHP禁用函数的配置项;接着在该配置项加上需要禁用函数,多个函数用英文逗号分隔;最后保存重启即可。推荐禁用函数disable_...
如何禁用一些php危险函数
weixin_34082789的博客
02-22 89
phpinfo() 功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。 危险等级:中 passthru() 功能描述:允许执行一个外部程序并回显输出,类似于 exec()。 危险等级:高 exec() 功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。 危险等级:高 system() 功能描述:允许执行一个外部程序并回显输出,类...
禁用PHP函数,可以对php.ini进行配置
weixin_33805557的博客
07-20 554
php.ini 里有个 disable_functions 开关选项,此选项可关闭一些危险函数,比如system,exec 等。比如: disable_functions = phpinfo , 如果在文件中调用 phpinfo() 函数,那么在 error_reporting 开启的情况下,会提示如下错误: Warning: phpinfo() has been disabled for s...
PHP生产环境禁用不安全的函数
qq_40530622的博客
12-27 924
php.ini文件里面找到一个配置项叫disable_functions,,写上下面的值,注意,要写在同一行才能生效。 disable_functions=passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openlog,syslo...
php安全】eval的禁止【原创】
liNewman的博客
05-12 923
php安全】eval的禁止【原创】 前段时间,网站遭受了黑客的入侵,后来在排查中发现了一个php,里面的内容只有很少: &lt;?php eval($_POST[asda123131323156341]);?&gt; 然后网上搜索一下php的eval函数,发现这个eval函数带有很大的安全隐患。 本地...
php的环境保护代码
最新发布
05-21
PHP环境保护代码是指为了保护PHP环境安全而编写的一些代码。以下是一些常用的PHP环境保护代码: 1. 禁用危险函数:在php.ini文件中,可以设置禁用一些危险函数,如exec、system、eval等。 2. 配置安全模式:可以在php.ini文件中开启安全模式,这样可以限制PHP脚本对系统的访问权限。 3. 过滤输入:使用过滤函数过滤用户输入,如htmlspecialchars、addslashes等。 4. 防止SQL注入:使用预处理语句,或者使用PDO等ORM框架,可以有效防止SQL注入攻击。 5. 防止XSS攻击:使用htmlspecialchars函数将用户输入的特殊字符转义,或者使用专门的防XSS库。 6. 强制类型转换:在处理用户输入时,使用强制类型转换可以避免一些类型相关的漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值