php安全模式system,php安全模式详细介绍

最新推荐文章于 2021-04-10 16:37:01 发布
最新推荐文章于 2021-04-10 16:37:01 发布
阅读量329 收藏
点赞数
文章标签: php安全模式system

php安全模式:safe_mode=on|off

启用safe_mode指令将对在共享环境中使用PHP时可能有危险的语言特性有所限制。可以将safe_mode是指为布尔值on来启用,或者设置为 off禁用。它会比较执行脚本UID(用户ID)和脚本尝试访问的文件的UID,以此作为限制机制的基础。如果UID相同,则执行脚本;否则,脚本失败。

具体地,当启用安全模式时,一些限制将生效。

1、 所有输入输出函数(例如fopen()、file()和require())的适用会受到限制,只能用于与调用这些函数的脚本有相同拥有者的文件。例如, 假定启用了安全模式,如果Mary拥有的脚本调用fopen(),尝试打开由Jonhn拥有的一个文件,则将失败。但是,如果Mary不仅拥有调用 fopen()的脚本,还拥有fopen()所调用的文件,就会成功。

2、如果试图通过函数popen()、system()或exec()等执行脚本,只有当脚本位于safe_mode_exec_dir配置指令指定的目录才可能。

3、HTTP验证得到进一步加强,因为验证脚本用于者的UID划入验证领域范围内。此外,当启用安全模式时,不会设置PHP_AUTH。

4、如果适用MySQL数据库服务器,链接MySQL服务器所用的用户名必须与调用mysql_connect()的文件拥有者用户名相同。

安全模式和禁用的函数

下面是启用safe_mode指令时受影响的函数、变量及配置指令的完整列表:

apache_request_headers() backticks()和反引号操作符 chdir()

chgrp() chmode() chown()

copy() dbase_open() dbmopen()

dl() exec() filepro()

filepro_retrieve() filepro_rowcount() fopen()

header() highlight_file() ifx_*

ingres_* link() mail()

max_execution_time() mkdir() move_uploaded_file()

mysql_* parse_ini_file() passthru()

pg_lo_import() popen() posix_mkfifo()

putenv() rename() zmdir()

set_time_limit() shell_exec() show_source()

symlink() system() touch()

以下是一些和安全模式相关的配置选项

safe_mode_gid=on|off

次指令会修改安全模式的行为,即从执行前验证UID改为验证组ID。例如,如果Mary和John处于相同的用户组,则Mary的脚本可以对John的文件调用fopen()。

safe_mode_include_dir=string

可 以使用指令safe_mode_include_dir指示多个路径,启用安全模式时在这些路径中将忽略安全模式。例如,你可以使用此函数指定一个包含不 同模板的目录,致谢模板可能会继成到一些用户网站。可以指定多个目录,在基于UNIX的系统各目录用冒号分隔,在Windows中用分号分隔。

注 意,如果指定某个路径但未包含最后的斜线,则该路径下的所有目录都会忽略安全模式设置。例如,如果设置次指令为/home /configuration,表示/home/configuration/templates/和/home/configureation /passwords都排除在安全模式限制之外。因此,如果只是要排除一个目录或一组目录不受安全模式设置的限制,要确保每个目录都包括最后的斜线。

safe_mode_env_vars=string

当启用安全模式时,可以只用次指令允许执行用户的脚本修改某些环境变量。可以允许修改多个变量,每个变量之间用逗号分隔。

safe_mode_exec_dir=string

次指令指定一些目录,其中的系统程序可以通过诸如system()、exec()或passthru()等函数执行。为此必须启用安全模式。此指令有一个奇怪的地方,在所有操作系统中(包括Windows),都必须使用斜线(/)作为目录的分隔符。

safe_mode_protected_env_vars=string

此 指令保护某些环境变量不能被putenv()函数修改。默认情况下,变量LD_LIBRARY_PATH是受保护的,因为如果在运行时修改这个变量可能导 致不可预知的结果。关于此环境变量的更多信息,请参考搜索引擎或Linux手册。注意,本届中声明的所有便来弄个都覆盖 safe_mode_allowed_env_vars指令中声明的变量。

另外,由于启用了安全模式后,由于会对比文件的拥有者和文件的执行者是否是一个人,所以会减慢执行效率。

毕志飞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php system()
刘阳龙Herman的专栏
09-14 1万+
<br />php函数system详解:<br />执行外部程序并显示输出资料。 <br />system语法: string system(string command, int [return_var]); <br />system返回值: 字符串 <br />函数种类: 操作系统与环境 <br /> <br />system内容说明 <br />本函数就像是 C 语中的函数 system(),用来执行指令,并输出结果。若是 return_var 参数存在,则执行 command 之后的状态会填入 re
mysql打开safe_mode_详解php.ini中开启safe_mode安全模式的影响
weixin_34647584的博客
01-26 822
近日在学习的过程中,突然遇到php安全模式的问题。如果设置了safe_mode=on的话,对于我们网站项目中会出现哪些问题。刚接触到这个的时候,把我也愣住了,于是乎,我就详细的学习了下。当safe_mode=On时,会出现下面限制:1、所有输入输出函数(例如fopen()、file()和require())的适用会受到限制,只能用于与调用这些函数的脚本有相同拥有者的文件。例如,假定启用了安全模式,...
php安全模式system,PHP安全模式详解(PHP5.4安全模式将消失)
weixin_39620065的博客
03-10 155
safe_modeboolean是否启用 PHP安全模式php安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd,但是默认的php.ini是没有打开安全模式的,我们把它打开:safe_mode = on 或者ini_set("safe_mode",true);...
PHP的system函数
hello PHP的博客
12-20 9959
PHP代码如下: <?php $v = system('netstat -tnlp',$shell_return); var_dump($shell_return); var_dump($v); 执行结果: Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address ...
mysql更新语句中的safe_mode
linybo的专栏
07-03 807
在mysql5中,可以设置safe mode,比如在一个更新语句中  UPDATE table_name SET bDeleted=0;  执行时会错误,报:  You are using safe update mode and you tried to update a table without a WHERE clause that uses a KEY column.”   
PHP执行系统命令的4个方法 : system , shell_exec , exec , passthru
刘宇(LY)个人笔记
11-05 9899
通过执行系统命令,我们可以调用系统的一些功能,甚至能与其他语言进行交互。 1 system() : system — 执行外部程序(命令行),并且显示输出 这个函数会将结果直接进行输出 (注意:是直接输出区别于返回值,因为这个,我一般不用它),命令成功后返回输出的最后一行,失败返回FALSE 2 shell_exec(): shell_exec — 通过 shell 环境执行命令 ( 这就意味着这...
PHP安全配置详细说明
12-19
安全模式下,执行外部程序的函数,如`exec`, `shell_exec`, `passthru`, `system`, 和 `popen`,将只允许在`safe_mode_exec_dir`选项指定的目录内的程序执行,并且会先通过`escapeshellcmd`函数过滤命令参数。...
php安全模式safe_mode配置教程
09-30
PHP编程环境中,安全模式(safe_mode)是一种内置的安全机制,用于增强服务器的安全性,防止恶意脚本执行潜在危险的操作。然而,自PHP 5.3.0版本后,安全模式已被废弃,不再推荐使用,因为其功能可以通过其他更...
PHP环境安全加固1
08-08
本文将详细介绍如何通过启用和配置PHP的内置安全特性来加强网站的安全防护。 首先,**启用PHP安全模式**是至关重要的一步。安全模式是一个内置的机制,它可以限制某些可能导致安全隐患的PHP函数,如`system()`,...
php 保护源代码,一个简单的内容保护系统以PHP编码
weixin_29164081的博客
04-10 153
PHProtect is a content protection system coded in PHP.PHProtect works under GNU/Linux, FreeBSD, OpenBSD, NetBSD, OSX, Solaris and NT/2K, they must have a CGI PHP Interpreter or Module installed on the...
PHP safe_mode简介
Martian
04-21 1119
PHP安全模式就是以安全模式运行php,safe_mode是在php.ini中设置,默认是关闭的。; Safe Mode ; http://php.net/safe-mode safe_mode=Offphp安全模式提供一个基本安全的共享环境,在一个有多个用户帐户存在的php开放的web服务器上。当一个web服务器上运行的php打开了安全模式,那么一些函数将被完全的禁止,并且会限制一些可用的功能。
mysql safemode_PHP安全模式safe_mode的说明
weixin_42351189的博客
02-26 491
什么是PHP安全模式:safe_mode简单说,PHP安全模式就是以安全模式运行phpphpphp安全模式提供一个基本安全的共享环境,在一个有多个用户账户存在的php开放的web服务器上。当一个web服务器上运行的php打开了安全模式,那么一些函数将被彻底的禁止,而且会限制一些可用的功能。html在安全模式下,一些尝试访问文件系统的函数功能将被限制。运行web服务器用户id,若是想要操做某个文...
php system函数用法,system函数如何使用?总结system函数实例用法
weixin_29982199的博客
03-20 4619
这篇文章主要简单分析了linux下system函数,具有一定的参考价值,感兴趣的小伙伴们可以参考一下简单分析了linux下system函数的相关内容,具体内容如下intlibc_system (const char *line){if (line == NULL)/* Check that we have a command processor available. It mightnot be ...
php system 命令,在PHP项目中利用system函数执行shell命令
weixin_34582773的博客
03-09 1550
摘要:在php项目开发中,如果能够在项目内执行shell命令,将可以实现更多的功能;此外,如果可以用具有同php相同功能的shell命令来替代,也可以提升项目的性能和效率。而php的system函数就可以实现在php中执行shell命令。 在php项目开发中,如果能够在项目内执行shell命令,将可以实现更多的功能;此外,如果可以用具有同php相同功能的shell命令来替代,也可以提升项目的...
php system引用外部文件夹,自研 PHP 框架 1.0_system 文件夹说明
weixin_39848970的博客
03-11 126
目录结构systemconstant.phpfunction.phpurl.phpsystem文件夹用来放置构建框架环境的所有文件。1.0 版本中只提供了路由解析功能,由 url.php 提供;constant.php 用来定义常量,function.php 则是框架级的函数库,与之对应,APP 中可以定义应用级的函数库,如果存在应用级的函数库,两者之间的关系是上下级。constant.php 和...
php system shell html 输出_利用 PHP 中的 FFI 扩展执行命令
weixin_39871162的博客
12-16 393
点击蓝字,关注我们本文作者:Match(团队成员)本文字数:2300阅读时长:10min附件/链接:点击查看原文下载声明:请勿用作违法用途,否则后果自负本文属于WgpSec原创奖励计划,未经许可禁止转载扩展简介FFI 是在 PHP 7.4 版本中新加入的,此扩展允许在 PHP 代码中加载共享库(.DLL 或 .so),调用 C 函数及访问 C 数据结构,简单的说就是允许在 PHP 中运行...
PHP的system、exec、passthru的使用
努力升级中的凡人
08-23 1122
对于我这个菜鸟连php的system的用法都不知道,今天做个简单记录。 system() 输出并返回最后一行shell结果。 exec() 不输出结果,返回最后一行shell结果,所有结果可以保存到一个返回的数组里面。 passthru() 只调用命令,把命令的运行结果原样地直接输出到标准输出设备上。 &lt;?php echo '&lt;pre&gt;'; //...
php system漏洞,命令执行漏洞
weixin_34060773的博客
03-19 1091
命令执行应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。利用条件应用调用执行系统命令的函数将用户输入作为系统命令的参数拼接到了命令行中没有对用户输入进行过滤或过滤不严漏洞分类代码层过滤...
php system函数攻击,禁用php的system函数以获取shell访问
weixin_42180863的博客
04-09 674
禁用php的system函数以获取shell访问2016-05-03 21:23:03 来源:360安全播报 阅读:2128次分享到:您可以禁用PHP函数如果你拥有一个运行着PHP的Web服务器,禁用一些PHP的危险功能可能是一个好主意,其中有些功能也许是你的网站所不需要的 。如果攻击者设法在你的服务器上运...
强化PHP环境安全:开启安全模式与设置
PHP安全模式是一种内置的安全措施,通过设置`safe_mode=on`,可以限制一些危险函数的使用,如`system()`,防止潜在的命令注入攻击,并且对文件操作进行严格的权限管理,避免对敏感文件(如`/etc/passwd`)的不当...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值