常见危险函数及特殊函数（1）（几乎照抄Virink老师的笔记，，，，）

PHP代码执行函数

eval（$code）函数：

eval（参数）

把字符串 $code作为PHP代码执行。很多常见的webshell都是用eval执行的（<?php @eval( $_POST['pass']);?>）

---

assert（）函数：

assert（参数1[,参数2]）检查一个单元是否为FALSE。把变量1作为PHP代码执行。

这是一个调试函数，也有字符串作为PHP代码执行的功能。在eval（）函数被满世界的杀毒软件通缉之后流行起来。

---

preg_replace（）函数：

preg_replace（参数1，参数2，参数3）

作用是执行正则表达式，搜索和替换。（preg_replace("/test/e,$_GET[“pass”],“test”);提交?pass=phpinfo()，phpinfo（）就会被执行。）

---

create_functions（）函数：

create_function(参数1，参数2)

创建一个匿名函数，并返回独一无二的函数名。$ newfunc = create_function(’$ v’,return system(’$v’);’);
$newfunc(‘whoanmi’);相当于system(‘hwoami’)

---

call_user_func（）函数：

call_user_func(参数1，参数2)

第一个参数是被调用的回调函数，其余参数是回调函数的参数。

---

call_user_func_array（）函数：

call_user_func_array(参数1，数组1)

把第一个参数作为回调函数调用，把参数数组作为回调函数的参数传入。

---

包含函数

require（）函数：

---

include（）函数：
include $file; 在变量 $file可控的情况下，我们可以包含任意文件，从而达到getshell的目的。
利用php流filten读取任意文件（需要用到支持的协议，封装协议还有过滤器）：
include ( $_GET[‘file’]); 我们可以提交：
?file=php(支持的协议): //filter/convert.base64-encode(过滤器)/resource=index.php

---

命令执行函数

1、exec（）：执行一个外部程序。
2、passthru（）：执行一个外部程序并且显示原始输出。
3、proc_open（）：执行一个命令，并且打开用来输入/输出的文件指针。
4、shell_exec（）& ‘’：通过shell环境执行命令，并且将完整的输出以字符串的方式返回。
5、system（）：执行外部程序，并且显示输出。例如：
system（$cmd）；通过控制变量 $cmd执行任意命令。system（‘ping -c 3’ . $target）通过管道符等特殊字符截断从而执行任意命令。（‘a | whoami’;）
6、popen（）：通过popen（）的从参数传递一条命令，并对popen（）所打开的文件进行执行。

---

文件操作函数

1、copy（）：拷贝文件。
2、file_get_contents（）：将整个文件读入一个字符串。
3、file_put_contents（）：将一个字符串写入文件。
4、file（）：把整个文件读入一个数组中。
5、fopen（）：打开文件或者URL。
6、move_uploaded_file（）：将上传的文件移动到新位置。
7、readfile（）：输出文件。
8、rename（）：重命名一个文件或目录。
9、rmdir（）：删除目录。
10、unlink & delete （）：删除文件。
任意文件读取，写入，删除往往是上面（或者其他）几个函数受到了控制。
读取：可以读取配置等文件，拿到key。写入：可以写入shell代码相关内容。删除：可以删除.lock文件而可以重新安装覆盖。等等。

---

特殊函数

信息泄露：

bool phpinfo（[int $what=INFO_ALL]）

输出PHP当前状态的大量信息，包含了PHP编译选项，启用的扩展，PHP版本，服务器信息和环境变量，操作系统版本信息，path变量，配置选项的本地值和主值，HTTP头和PHP授权信息。

---

软连接-读取文件内容：

bool symlink（string $target,string $link）

symlink（）对于已有的target建立一个名为link的符号链接。

string readlink（string $path）

readlink（）和同名的C函数做同样的事，返回符号链接的内容。

---

环境变量：

string getenv（string $varname）

获取一个环境变量的值。

bool putenv（string $setting）

添加setting到服务器环境变量，环境变量仅存活于当前请求期间，在请求结束时环境会恢复到初始状态。

---

加载扩展：

bool dl（string $library）

加载指定参数library的PHP扩展。

---

相关配置：

string ini_get(string $varname)

成功时返回配置选项的值。

---

数字判断：

bool is_numeric(mixed $var)

如果var是数字和数字字符串则返回TRUE，否则返回FALSE。

---

数组相关：

bool in_array(mixed $needle，array $haystack[,bool $strict = FALSE])

在haystack中搜索needle，如果没有设置strict则使用宽松的比较。该函数有一个特性，比较值钱会进行自动类型转换。例如：
$a=‘1sjdkkfl’;
in_array( $a,array(1,2,3))的返回值会是真。

---

这一篇几乎照抄于Virink老师的笔记，，，真正的掌握还需要大量的使用。