[安全]PHP能引起安全的函数

最新推荐文章于 2024-08-22 09:44:18 发布
最新推荐文章于 2024-08-22 09:44:18 发布
阅读量42 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/ghjbk/p/6757757.html
版权

php中需要禁用以下函数来提高安全性 打开php.ini  找到 disable_functions .然后禁用以下函数

[C] 纯文本查看 复制代码
?

1
disable_functions = pcntl_alarm, pcntl_fork, pcntl_waitpid, pcntl_wait, pcntl_wifexited, pcntl_wifstopped, pcntl_wifsignaled, pcntl_wexitstatus, pcntl_wtermsig, pcntl_wstopsig, pcntl_signal, pcntl_signal_dispatch, pcntl_get_last_error, pcntl_strerror, pcntl_sigprocmask, pcntl_sigwaitinfo, pcntl_sigtimedwait, pcntl_exec, pcntl_getpriority, pcntl_setpriority, eval, popen, passthru, exec, system , shell_exec, proc_open, proc_get_status, chroot, chgrp, chown, ini_alter, ini_restore, dl, pfsockopen, openlog, syslog, readlink, symlink, popepassthru, stream_socket_server, fsocket, chdir

转载于:https://www.cnblogs.com/ghjbk/p/6757757.html

weixin_30836759
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
静态代码编码安全审计: PHP源代码审计工具RIPS
qq_54537919的博客
04-10 4213
PHP源代码审计工具RIPS RIPS简介、RIPS的安装和使用、典型漏洞分析 rips安装 rips介绍 rips扫描的过程和结果
php实现XSS安全过滤的方法
10-23
需要注意的是,过滤器并不是万能的,它不能完全替代其他的Web安全实践,例如输入验证、内容安全策略(CSP)等。开发者应当综合运用各种方法来提升网站的安全性,从而更好地保护用户和网站数据的安全
PHP中的敏感函数
熊猫在路上
09-09 1242
安全有关的敏感函数 在代码安全审计中,快速定位敏感函数,有助于帮助我们更快发现漏洞。这里就通过实例方式说明一下敏感函数是如何运行的。 1.eval() 该函数把字符串当做php代码来计算,并且字符串必须是合法的php代码,要以分号结尾。 语法eval(phpcode) 实例: <?php eval('phpinfo();'); ?> 2.assert() 该函数会检查一个指定...
PHP扩展pcntl(进程控制以及信号处理)中文文档
热门推荐
goosman-lei
08-13 1万+
呵呵, 个人水平有限, 不足之处还请各位指教, 共同进步, 谢谢. translator: selfimpr blog: http://blog.csdn.net/lgg201 mail: lgg860911@yahoo.com.cn 转载请保留, 谢谢. PHP 扩展 pcntl 实现 ” 多线程 ”( 进程 )
php 安全禁止函数,PHP推荐禁用函数disable_functions PHP安全配置
weixin_36084613的博客
03-09 616
最近服务器的phpmyadmin一直不正常,原以为配置错误,结果发现是前段时间修改disable_function引起的,逐步比较disable_function的参数发现,原来是因为opendir,readdir,dir,chdir这4个参数引起的禁用opendir报错如下:phpmyadmin就会出现如下错误phpMyAdmin-ERROR: cannot open themes folder...
PHP网站常见一些安全漏洞及防御方法
网络安全
05-11 1万+
一、常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用于方便用户的使用和访向。 2、SQL注入漏洞 在进行网站开发的时候,程序员由于对用户输人数据缺乏全面判断或者过滤不严导致服务器执行
PHP代码审计-常见危险函数
灰蜗牛
09-20 6941
PHP代码执行函数eval & assert & preg_replace 包含函数:require、include、require_once、include_once 命令执行函数:exec、system、passthru、proc_open、shell_exec、system 文件操作函数:file、copy、file_get_contents、file_put_contents、fopen等 特殊函数
常见的 PHP 危险函数
认真走好每一小步
07-19 798
代码执行函数、命令执行函数
禁止不安全php函数(php.ini)
huike008的博客
12-29 725
为了使php程序更安全,很多站长都选择了禁用一些比较敏感的函数,那影响php安全函数到底有哪些呢,下面我们列出了一些:1、phpinfo() 功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。 危险等级:中2、passthru() 功能描述:允许执行一个外部程序并回显输出,类似于 exec()。 危险等级:高3、exec() 功能描述:允许执行一个外部程序(如 UNI...
php中有关操作数据库安全的几个函数总结
Walker-C
01-23 1035
当使用php向数据库中写入或者读取数据时,若在进行操作前对字符串进行一些处理,如:过滤处理,可能会导致某些数据库语句因为特殊的字符引起的污染而出现致命的错误。为此,php中提供了一个“魔法开关”—–magic_quotes_gpc。(该开关已在5.4.0版本被删除,始终置为off) 当magic_quotes_gpc = on时,从外部post、get、cooki过来的数据都会在预定义字符之前
中职组网络安全代码审计基础-PHP危险函数及特殊函数
qq_57147160的博客
01-07 2697
首先就是phpinfo()这个函数,这个函数的主要作用就是查看网站上的各种信息: 随后我们来进行访问网站: 就看到网站上的各种信息。 其中这两个函数的开启和文件包含漏洞有关: 下一个危险函数就是eval()函数了 这个函数的主要作用就是执行php函数,通常在写一句话木马的时候使用 <?php @eval($_GET['cmd']); ?> 可以看到我们通过使用GET传参执行system函数成功执行命令。 当然有时候网站肯定是将.
PHP语法安全监测.rar
06-27
4. **禁用危险函数**:限制或禁用可能引起安全问题的PHP函数,如`eval()`,以降低代码被恶意利用的风险。 5. **代码审查和审计**:定期进行代码审查,查找并修复潜在的安全漏洞。 6. **错误处理和日志记录**:设置...
PHP魔术引号所带来的安全问题分析
10-25
安全编码实践中,开发者需要意识到,魔术引号并不能为PHP程序提供全面的安全保护。尤其是在处理SQL查询时,如果使用了被自动转义的数据,可能就会引起SQL注入漏洞。这是因为数据库查询的语法和转义字符的处理方式...
PHP弱类型的安全问题详细总结
10-21
除了直接的比较操作之外,内置函数的松散性也是PHP弱类型安全问题的一个方面。例如,内置函数`md5()`在处理非预期类型数据时也可能导致不可预见的行为。如文档中提到的: ```php $array1 = array("foo" => "bar", ...
php安全配置规范
11-27
- **建议**: 根据应用需求禁用不安全或不必要的函数如`phpinfo()`、`exec()`等。 - **原因**: 禁用这些函数可以防止潜在的命令执行攻击或其他类型的安全威胁。 **3. log_errors** - **定义**: 是否将错误信息记录...
推荐一个完全自由的目录设计网站
最新发布
qq_30049249的博客
08-22 331
因此,如果想在网站上写一本自己的书,我们需要一个目录设计的工具。现在,我们点击全部,看到自己的所有文章。这样,先创建各级栏目,再将文章拖动到各级栏目,就实现了对文章到整理。上面的链接提供参考,这里主要介绍其中的目录设计工具,也叫栏目设计。好,现在我们来出一本书,想一个名字,就叫《学习PHP动态网站开发》如果我们能通过网站出一本书,这将是一件很酷的事。事实上,我们通过网站发布知识,最常见的是写博客。先点击所有,查看子栏目和文章,然后进行拖动排序。好,本文说的是完全自由的目录设计,有多自由呢?
wordpress网站“ERR_CONNECTION_REFUSED”错误
xiaoyuya
08-17 395
wordpress网站“ERR_CONNECTION_REFUSED”错误,是一个常见的wordpress错误。通过以上步骤,你应该能够诊断并解决WordPress中的“ERR_CONNECTION_REFUSED”错误。例如,最新的WordPress可能不支持PHP5.2,必须升级到PHP5.5或更高版本。如果WordPress无法连接到数据库,也会导致类似的错误。如果你使用的是云服务器,可以尝试重启服务器来解决问题。如果连接没有问题,尝试重新启动路由器或重新连接网络。有时浏览器缓存可能导致连接问题。
day32(8/20)——playbook剧本安装nginx、roles
wh992610的博客
08-21 823
roles(⻆⾊): 就是通过分别将variables, tasks及handlers等放置于单独的⽬录中,并可以便捷地调⽤它们的⼀种机制。假设我们要写⼀个playbook来安装管理lamp环境,那么这个playbook就会写很⻓。所以我们希望把这个很⼤的⽂件分成多个功能拆分, 分成apache管理,php管理,mysql管理,然后在需要使⽤的时候直接调⽤就可以了,以免重复写。就类似编程⾥的模块化的概念,以达到代码复⽤的效果。
thinkphp5漏洞分析之文件包含
m0_68976043的博客
08-20 637
最后,再通过一张攻击流程图来回顾整个攻击过程。
PHP开发避坑指南:需求与安全
对于其他安全问题,如伪造跨站请求、会话固定和会话劫持,也应引起重视。 开发过程中的最佳实践包括:给代码编写详细的注释,保持测试机环境与生产环境的一致性,尽早熟悉和使用Linux操作系统,以及编写自动化工作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值