PHP危险函数总结

最新推荐文章于 2024-04-15 11:02:50 发布
最新推荐文章于 2024-04-15 11:02:50 发布
阅读量3.8k 收藏 27
点赞数 7
分类专栏: web 文章标签: PHP危险函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43431158/article/details/99673451
版权

前言:PHP中有很多危险函数,如phpinfo() ,这次就来详细总结一下PHP中的危险函数,并借助大师傅们的例子来进行代码审计的练习。

一、PHP代码执行函数

eval()函数

定义和用法:

eval() 函数把字符串按照 PHP 代码来计算.
该字符串必须是合法的 PHP 代码,且必须以分号结尾。

这个用法就会产生漏洞,通过一个例子来看一下:

<?php
$var = "var";
if (isset($_GET["arg"]))
{
   
        $arg = $_GET["arg"];
        eval("\$var = $arg;");
        echo "\$var =".$var;
}
?>

输入:http://127.0.0.1/1.php?arg=phpinfo()就会发现已经执行了eval函数
在这里插入图片描述
再输入一串字符串,让eval()函数作为命令执行

http://127.0.0.1/1.php?arg=var_dump(scandir('./'))
#scandir()函数列出./(当前)目录中的文件和目录:

在这里插入图片描述
除此之外,还可以结合system()函数来获取当前运行的服务的信息

http://127.0.0.1/1.php?a=system("net
最低0.47元/天 解锁文章
lemonl1
关注
  • 7
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
eval 函数非常危险
superkrissV的专栏
12-12 1073
在一个真实的系统中,会有各种各样强大的类,传递给 `eval` 的字符串可以实例化和调用这些类。这可能造成永无止境的破坏。
php过滤危险html代码的函数
10-30
总结来说,`uh`函数PHP中一个简单的HTML内容过滤器,它帮助开发者在允许用户提交HTML内容的同时,防范潜在的安全风险和布局问题。然而,对于生产环境,建议采用更为专业和全面的解决方案来确保网站的安全性。
PHP中16个高危函数
积善之家
09-26 680
php中内置了许许多多的函数,在它们的帮助下可以使我们更加快速的进行开发和维护,但是这个函数中依然有许多的函数伴有高风险的,比如说一下的16个函数不到万不得已不尽量不要使用,因为许多“高手”可以通过这些函数抓取你的漏洞。 1、passthru() 功能描述:允许执行一个外部程序并回显输出,类似于 exec()。 危险等级:高 2、exec() 功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。 危险等级:高 3、system() 功能描述:允许执行一个外部程
常见危险函数总结
最新发布
小小小屿屿屿的博客
04-15 1186
本文总结了常见的Web型漏洞的高危函数
常见的 PHP 危险函数
认真走好每一小步
07-19 740
代码执行函数、命令执行函数
禁止不安全的php函数(php.ini)
huike008的博客
12-29 712
为了使php程序更安全,很多站长都选择了禁用一些比较敏感的函数,那影响php安全的函数到底有哪些呢,下面我们列出了一些:1、phpinfo() 功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。 危险等级:中2、passthru() 功能描述:允许执行一个外部程序并回显输出,类似于 exec()。 危险等级:高3、exec() 功能描述:允许执行一个外部程序(如 UNI...
PHP中的16个危险函数
滴水石穿
08-14 825
php中内置了许许多多的函数,在它们的帮助下可以使我们更加快速的进行开发和维护,但是这个函数中依然有许多的函数伴有高风险的,比如说一下的16个函数不到万不得已不尽量不要使用,因为许多“高手”可以通过这些函数抓取你的漏洞。功能描述:可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。功能描述:是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同。功能描述:允许执行一个外部程序并回显输出,类似于 passthru()。具体参见 ini_set()。
PHP代码审计-PHP危险函数及特殊函数
forget_mt的博客
02-20 956
PHP代码审计-PHP危险函数及特殊函数
Audit-Learning:记录自己对《代码审计》的理解和总结,对危险函数的深入分析以及在p牛的博客和代码审计圈的收获
02-01
本文将主要基于"Audit-Learning"的总结,探讨对危险函数的深入分析以及从p牛的博客和代码审计社区学习到的宝贵经验。 首先,代码审计的核心在于识别和修复可能导致安全漏洞的代码片段。在PHP中,一些常见的危险函数...
php安全配置记录和常见错误梳理(总结)
10-20
`disable_functions`列表可以禁止一些潜在危险函数,例如执行命令行操作的函数,以减少恶意代码执行的可能性。不过,也要注意不要过度禁用,以免影响正常功能。 至于上传大文件,`upload_max_filesize`和`post_...
PHP函数eval()介绍和使用示例
10-25
`eval()` 函数PHP 中是一个...总结,`eval()` 是一个强大但危险PHP 功能,它可以将字符串转化为 PHP 代码执行。在使用时必须小心,尽量避免使用它来处理不受信任的数据,同时寻找更安全的编程模式来解决问题。
PHP中的危险函数全解析.rar
07-09
PHP中的危险函数全解析
C 高危函数
05-14
c有很多危险函数,注意使用
php中url传递中文字符,特殊危险字符的解决方法
10-26
总结,处理PHP URL传递中文字符和特殊危险字符的问题,可以采用`urlencode()`预处理,再配合`base64_encode()`和自定义的替换函数,确保字符编码的安全性和一致性。在服务器端,使用相应的解码函数恢复原始数据,如`...
从实战理解代码执行漏洞函数php
weixin_51692662的博客
08-18 776
php,RCE,漏洞,远程代码,安全,代码执行
eval()函数不安全的原因以及解决方案
weixin_33922670的博客
02-28 2219
第一部分:分享个phpeval后门程序要求必须支持eval函数使用方法http://url/test.php?pwd=admin&action=eval&a=phpinfo();代码:<?php$passwd="admin";if($_GET['pwd']!=$passwd)exit;if($_GET['action']=="eval" &&a...
浅谈“phpinfo()信息泄漏”
热门推荐
→_→
06-29 1万+
一:漏洞名称: PHPInfo信息泄漏、phpinfo()函数信息泄漏 描述: PHPInfo函数信息泄露漏洞常发生一些默认的安装包,比如phpstudy等,默认安装完成后,没有及时删除这些提供环境测试的文件,比较常见的为phpinfo.php、1.php和test.php,虽然通过phpinfo获取的php环境以及变量等信息,但这些信息的泄露配合一些其它漏洞将有可能导致系统被渗透和提权。 phpinfo()函数返回的信息中包含了服务器的配置信息,包括: 1)PHP编译选项以及文件扩展名
PHP常见的命令执行函数与代码执行函数_php命令执行函数
m0_60721695的博客
04-06 904
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。使用用户自定义的比较函数对数组排序,并保持索引关联(不为元素分配新的键)。将用户自定义函数作用到数组中的每个值上,并返回用户自定义函数作用后的带有新值的数组。回调函数接受的参数数目应该和传递给 array_map() 函数的数组数目一致。这里的 assert 是被调用的回调函数,其余为回调函数的参数。将传入的参数作为数组的第一个值传递给assert函数。命令执行:cmd=system(whoami)
PHP代码审计-常见危险函数
灰蜗牛
09-20 6878
PHP代码执行函数eval & assert & preg_replace 包含函数:require、include、require_once、include_once 命令执行函数:exec、system、passthru、proc_open、shell_exec、system 文件操作函数:file、copy、file_get_contents、file_put_contents、fopen等 特殊函数
PHP危险函数都哪些
04-25
PHP危险函数主要包括以下几种: 1. eval() 2. exec() 3. system() 4. passthru() 5. shell_exec() 6. popen() 7. proc_open() 8. fsockopen() 9. stream_socket_client() 10. pdo->query()(当用于传递未经过滤的参数时) 这些函数都可以用来执行任意命令或脚本,所以在编写 PHP 代码时要特别小心使用这些函数

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值