php危险字符,PHP代码审计(常见的危险函数)

最新推荐文章于 2023-02-20 09:50:07 发布
最新推荐文章于 2023-02-20 09:50:07 发布
阅读量105 收藏
点赞数
文章标签: php危险字符

PHP代码审计(常见的危险函数)

(2016-12-26 12:10:41)

分类:

PHP

eval 将字符串以php代码执行

assert 断言(可以代替eval来执行字符串)

preg_replace 正则表达式替换用/e修饰会执行代码

create_function(参数,代码)创建一个匿名函数()

$abb='syst'.'em'用字符串拼接产生函数

call_user_fuc回调函数

require,include,require_once,include_once包含函数,包含文件并执行(可以用filter来读取任意php文件)

exec(),passthru(),proc_open(),shell_exec(),system(),popen()几种执行函数(用管道函数来截断)

copy 拷贝文件

file_get_contents 将整个文件读入为字符串

file_put_contents 将整个字符串写入文件

file 将文件读入数组中

fopen 打开文件或者url

move_upload_file将上传文件移动到新的位置

readfile 输出文件

rename 重命名

rmdir 删除目录

unlink delete 删除文件

ini_get 获取配置信息

ini_set 设置配置信息

ini_alter 设置值(脚本后恢复原值)

is_numeric 判断是否为数字或数字字符串

in_array 与数组中值进行匹配(如果第三个参数不设置,匹配的会很宽松)

parse_str 可以变量覆盖(如果没有放到数组里)

glob 筛选文件,获得信息

get_define_vars 获得变量,返回数组形式

get_define_costants 获得常量,返回数组形式

get_define_functions 返回函数列表

get_include_files 返回包含的文件,(包括本身)

分享:

a4c26d1e5885305701be709a3d33442f.png喜欢

0

a4c26d1e5885305701be709a3d33442f.png赠金笔

加载中,请稍候......

评论加载中,请稍候...

发评论

登录名: 密码: 找回密码 注册记住登录状态

昵   称:

评论并转载此博文

a4c26d1e5885305701be709a3d33442f.png

发评论

以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

weixin_39526185
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php代码审计-代码执行.pdf
12-14
代码审计可以检查代码中是否存在安全漏洞,例如 eval() 函数、assert() 函数、preg_replace() 函数等。 例如,我们可以使用以下方式来检查代码中是否存在 eval() 函数: ```php <?php $search = 'eval'; $code = ...
PHP代码审计——PHP常见的敏感函数列表
qq_44029310的博客
10-03 2617
PHP常见的敏感函数列表。
PHP代码审计-PHP危险函数及特殊函数
最新发布
forget_mt的博客
02-20 961
PHP代码审计-PHP危险函数及特殊函数
PHP危险函数
杨同学的博客
12-23 518
php部分危险函数
PHP代码审计入门:常见危险函数和审计点
weixin_43815032的博客
10-28 486
01什么是危险函数 函数设计出来就是让人使用的,之所以危险,是因为其功能过于强大.开发人员特别是刚从业的人员很少会完整阅读完整个文档,再或者是没有意识到当给这些函数传递一些非常规的,外部可控的参数会带来什么影响,所以踩坑的几率非常大.所以在进行代码审计的时候,比较多的部分都是在审计调用这些危险函数的时候,参数是不是外部可控的.有没有进行正确的过滤. ...
php代码命令执行漏洞-常见危险函数
qq_41272376的博客
02-16 4857
php代码/命令执行漏洞-常见危险函数 php代码执行相关 eval() mixed eval ( string $code ) 把字符串code作为php代码执行。常见的一句话木马: <?php eval($_GET['pass']) ?> 访问: http://xxx/codeexec.php?pass=phpinfo(); 得到phpinfo()页面。 assert() PHP 5 bool assert ( mixed $assertion [, string $desc
php代码审计之命令注入(3)
01-09
- 定期进行代码审计,检查可能存在的安全漏洞。 总之,理解这些函数的工作原理以及如何安全地使用它们对于编写安全的 PHP 应用至关重要。忽视命令注入的防范可能导致数据泄露、服务器被接管等严重后果。因此,开发...
信息安全_PHP代码审计.PHP基础.pptx
08-14
PHP代码审计与语言基础详解》 PHP是一种广泛应用于Web开发的服务器端脚本语言,以其易学易用和灵活性而受到青睐。然而,随着Web应用程序的复杂度不断提升,安全问题日益凸显,PHP代码审计变得至关重要。本文将...
C#实现的简单PHP代码审计程序
08-24
在这个场景中,我们有一个使用C#编写的简单PHP代码审计程序。这个程序的主要目标是对PHP源代码进行检查,查找潜在的安全漏洞、性能瓶颈或其他编程错误。C#是一种强类型、面向对象的语言,它的丰富特性和强大的.NET...
php代码审计基础补习
05-25
PHP代码审计是软件安全领域的重要环节,主要用于检测PHP应用程序中的潜在漏洞和安全风险。通过代码审计,开发者可以发现并修复可能导致数据泄露、SQL注入、跨站脚本(XSS)等安全问题的代码片段。本补习课程将带你...
php中的替换函数,php字符串中替换函数是什么
weixin_42405592的博客
04-01 1298
php字符串中替换函数有两种,分别是:1、substr_replace函数,用于把字符串的一部分替换为另一个字符串;2、str_replace函数,能够使用一个字符串替换字符串中的另一些字符。本文操作环境:Windows7系统、PHP7.1、Dell G3电脑。PHP 字符串替换用于从字符串中替换指定字符串。相关函数如下:substr_replace():把字符串的一部分替换为另一个字符串str_...
php危险字符,url传递中文字符,特殊危险字符的解决方案(仅供参考)urldecode、base64_encode...
weixin_39624367的博客
03-12 289
web开发的过程中,当我们需要在url中传递中文字符或是其它的html等特殊字符时,似乎总会碰到各种各样的小问题,因为不同的浏览器对他们的编码又不一样。对于中文,一般的做法是:把这些文本字符串传给url之前,先进行urlencode($text)一下。但是对于一些很“危险”的字符,比如说html字符,甚至是SQL注入相关的字符,如果很明显的传给系统,出于安全考虑,系统一般都会把它们过滤掉的。那么,...
php代码审计危险函数
小小猪的博客
12-25 880
php代码审计危险函数 php代码中执行的危险函数: call_user_func() 第一个参数 callback 是被调用的回调函数,其余参数是回调函数的参数。 传入call_user_func()的参数不能为引用传递 call_user_func($_GET['1'],$_GET['2']); 构造:codeexec.php?1=assert&2=phpinfo() call_user_func_array() 第一个参数作为回调函数(callback)调用,把参数数组作(pa
PHP代码审计-常见危险函数
灰蜗牛
09-20 6884
PHP代码执行函数eval & assert & preg_replace 包含函数:require、include、require_once、include_once 命令执行函数:exec、system、passthru、proc_open、shell_exec、system 文件操作函数:file、copy、file_get_contents、file_put_contents、fopen等 特殊函数
PHP代码审计危险函数
weixin_44300286的博客
08-24 769
前言: 前几天总结了一下命令执行漏洞和代码执行漏洞,在其中发现了一些危险函数,其实危险函数还有很多,今天就来总结一下,之前总结过的就一笔带过,着重写之前没总结过的 0x02 代码执行函数 1.1 eval 函数 eval函数可以把字符串当作php代码来执行,最常见的操作就是一句话木马: <?php @eval($_POST['ps']);?> 1.2 assert函数 assert函...
PHP代码审计常见危险函数及特殊函数
qq_48008847的博客
07-19 479
PHP代码执行函数: eval&assert&preg_replace eval函数字符串作为php代码执行,如:<?php @eval($_POST['v']);?> 很多常见的webshell都是用eval来执行的
php审计之——常见危险函数
qq_44632427的博客
07-29 771
一、php代码执行函数 1、eval:把字符串$code作为代码来执行。很多常见的webshell都是用eval来执行具体操作的。 例如一句话: <?php @eval($_POST['xxx']);?> 2、assert:调试函数,检查第一个断言是否为FALSE。(把字符串$assertion作为php代码执行) 因为大多数杀软把eval列入黑名单了,所以用assert来代替eva...
后台代码-PHP危险函数
Chenamao的博客
08-10 904
目录 后台代码-PHP危险函数 1.OS命令执行函数 *PHP代码执行函数 *回调函数 *动态函数 $a($b) 扩展知识: OS命令注入漏洞 PHP代码注入 后台代码-PHP危险函数 RCE,(Remote Code\Command Execute) 1.OS命令执行函数 函数会调用系统命令,类似于 bash或者cmd,PHP会自动区分平台。 ☺ 系统命令函数,调用的是服务器命令。 ☺ PHP解释器会自动识别系统平台 ☺ 如果参数可控,就相当于shell ☺ ...
PHP代码审计之基础篇
热门推荐
Mi1k7ea
04-18 1万+
最近在学PHP代码审计,那就将学习的笔记都整理一遍吧~ 前期准备: 1、安装相关软件,如Sublime text、 Notepad++、editplus、 Seay源代码审计系统等 2、获得源码,可以到网上下载各种网站源码 3、安装网站 审计方法: 通读全文法:麻烦但全面 敏感函数参数回溯法:高效常用,Seay源代码审计系统 定向功能分析法:主要根据程序的业

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值