PHP安全 [环境变量]

最新推荐文章于 2023-12-07 22:05:01 发布
最新推荐文章于 2023-12-07 22:05:01 发布
阅读量460 收藏 3
点赞数 3
分类专栏: PHP 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45253622/article/details/117247210
版权

超全局变量

PHP中的许多预定义变量都是“超全局的”,这意味着它们在一个脚本的全部作用域中都可用。在函数或方法中无需执行global $variable;就可以访问它们∶

$GLOBALS ,$_SERVER,$_GET,$_POST ,$_FILES , $_COOKIE,$_SESSION ,$_REQUEST、$_ENV

它们受到variables_order变量的控制。

$_SERVER

PHP环境变量允许开发者的脚本从服务器动态收集某些类型的数据。保证PHP程序在不同服务器正确运行。例如DOCUMENT_ROOT,CONTEXT_DOCUMENT_ROOT变量将自动获得网站的根目录,而无需在脚本中进行任何更改。

php.ini

配置文件( php.ini)在PHP启动时被读取。对于服务器模块版本的PHP,仅在 Web服务器启动时读取一次。cli(命令行)每次使用重新读取。php.ini内部 variables_order参数控制着超全局变量。

phpinfo()

输出PHP当前状态的大量信息,包含了PHP编译选项、启用的扩展、PHP 版本、服务器信息和环境变量(如果编译为一个模块的话)、PHP环境变量、操作系统版本信息、path 变量、配置选项的本地值和主值、HTTP头和PHP授权信息( License )。从 php.ini 配置获取。常常关联着敏感信息泄露的问题。

具体:确切的PHP版本、操作系统和它的版本、PHP详细配置、IP地址信息、服务器的环境变量、PHP扩展及其配置;

敏感信息泄露本身并不危险,但是配合着其他漏洞,服务器面临的威胁就大增,比如:

容器版本泄露:可能配合Apache这个版本的CVE漏洞,获取shell

真实IP泄露:直接绕过CDN,得到真实IP,后续可继续查旁站IP和C段

禁用的方法:在构造木马webshell的过程,需要知道哪些方法是被禁用了的,有针对的过滤。

限定访问位置:PHP能够访问的目录是否有限制

短标签的使用:<?php ?>是PHP程序标准形式,打开此开关,将允许<? ?>,在构造shell过程中有帮助。

缓存:缓存PHP文件,文件类型为~.bin,配合文件上传(一般不过滤bin)覆盖,再调用达到加载恶意文件的目的。

Phar的利用:使用Phar://伪协议流可以Bypass 一些上传的 waf,大多数情况下和文件包含一起使用,同时关联,一些反序列化漏洞。

支持的程序:服务器是否加载了Redis、Memcache、MongoDB、MySQL、cURL还有Gopher。 

网站根目录:配合SQL注入漏洞,如SQLmap的 -os-shell,直接获取shell。

本地(远程)文件包含

allow_url_fopen:默认开启,关闭会导致应用程序故障,本地文件包含

allow_url_include: 默认关闭,如果打开,易出现远程文件包含漏洞。

文件包含漏洞:程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这种文件调用的过程一般被称为文件包含。程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞。几乎所有脚本语言都会提供文件包含的功能,但文件包含漏洞在PHP中居多其他语言编写的程序相对较少。

carefree798
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 8
    评论
专栏目录
PHP安全配置详细说明
12-19
 PHP安全模式提供一个基本安全的共享环境,在一个有多个用户帐户存在的PHP开放的Web服务器上。当一个Web服务器上运行的PHP打开了安全模式,那么一些函数将被完全的禁止,并且会限制一些可用的功能。  [ 使用安全...
php环境变量配置
红目香薰
11-09 5494
这里用的【Wampserver】演示,其它的类似。 其php的存储位置是: 由于需要的只是【PHP.exe】文件所以定位在这个路径下即可。 【C:\wamp64\bin\php\php7.2.14】 将此路径添加到环境变量中。 步骤1、进行【php_path变量】配置: 步骤2、进行【path】设置: 步骤三:逐一点击【确定】 步骤四:测试 打开【cmd】输入【php -v】查看配置是否成功: 恭喜,你已经配置完成【PHP】环境。 ...
php配置环境变量方法
m0_60459392的博客
04-12 2463
php配置环境变量前打开cmd命令行模式运行php,会发现不能运行。这时,我们可以配置环境变量来解决。第一步:找到php软件所在的目录,复制包含php.exe的文件路径。第六步:在命令行窗口输入php -v查看是否配置成功。第四步:点击系统变量处的path,再点击编辑。第五步:在弹出窗口点击新建,然后粘贴文件路径。第三步:点击高级系统设置,再点击环境变量。第二步:右键“此电脑”,点击属性。
php环境变量的配置步骤
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
08-27 2909
要配置PHP环境变量,以便在命令行中直接使用php
php环境变量设置
jamstion的专栏
10-31 351
php环境变量设置
PHP环境变量是干什么的?底层原理是什么?
长风破浪会有时的博客
08-19 153
PHP中,环境变量是一种设置在操作系统中的变量,可以在PHP脚本中访问。PHP提供了一些内置的函数和变量,可以访问和操作环境变量。总之,环境变量是一种在操作系统中设置的变量,可以在PHP脚本中访问。PHP提供了内置的函数和变量,可以访问和操作环境变量PHP的底层原理是继承操作系统的环境变量,并将其存储在超全局变量中,供脚本使用。超全局变量则包含了所有的服务器和执行环境的信息,包括了环境变量。的关联数组中,数组中的键为环境变量的名称,值为环境变量的值。在PHP中,可以通过设置环境变量来影响脚本的行为。
APMServ5.2.6php集成环境
04-02
APMServ 5.2.6 是一款拥有图形界面的快速搭建Apache 2.2.9、PHP 5.2.6、MySQL 5.1.28 ...虚拟目录、端口更改、SMTP、上传大小限制、自动全局变量、SSL证书制作、缓存性能优化等设 置,只需鼠标一点即可完成。
eco-cli:Laravel项目的简单非生产环境变量共享
04-13
Eco使您和您的团队可以轻松安全地共享非生产环境变量,而无需设置专用机密服务器的开销。这是用来干嘛的? 你有没有... 本地.env文件是否已删除或损坏,导致您丢失环境变量? 在具有混乱或多余环境变量的团队中工作...
PHP Windows多版本全局环境切换工具
12-20
PHP Windows多版本全局环境切换工具是一款...删除环境变量:安全删除目标路径对应的环境变量 测试PHP运行结果:测试PHP是否配置成功(主要测试目标路径的PHP) 一般设置PHP路径+目标路径 切换即可 环境变量只需设置一次。
配置php环境变量及其作用
xianyufanshen_的博客
12-25 1177
1. 未配置PHP环境变量 一般情况下,在使用php时,是不需要配置环境变量的,只要在PHP.ini指定扩展的组件dll的ext路径和include环境路径即可,但在cmd命令行运行php会报错。 2. 配置PHP环境变量 配置环境变量之后,我们就可以轻松的使用PHP的命令行。 (1)找到PHP.exe所在的目录,然后复制该目录的路径目录(Wamp路径一般是wamp\bin\php\php.5.6.25[看不同版本])。 如图是Xampp安装目录下PHP.exe的路径,Xampp需要新建两条变量。 一个是
PHP设置为环境变量(图文版)
最新发布
niuren3212的博客
12-07 1473
1.win + R2.输入 php -v出现这个的话,就证明php 已经配置到环境变量中,可以看到我的版本是7.4.3如果已经配置好了的话,可以退出这个了。
php配置环境变量 PHP不是内部或外部命令,也不是可运行的程序或批处理文件
lcl_key的博客
07-21 1534
php配置环境变量1. 确定自己的php版本;我这里用的是小皮面板;她显示我用的是php5.6.9.nts2. 找到该版本的文件所在3.找到自己的php版本,并把路径复制下来4.配置系统环境变量5.确定之后,试一下;如果不行就重启一下软件或者电脑。6.测试一下,然后就可以了 PHP不是内部或外部命令,也不是可运行的程序或批处理文件是因为没有配置 1. 确定自己的php版本;我这里用的是小皮面板;她显示我用的是php5.6.9.nts 2. 找到该版本的文件所在 小皮: phpstudy: 3.找到自己
php 显示当前服务器环境变量,php 服务器环境变量
weixin_32085599的博客
08-06 323
php 服务器环境变量 内容精选换一换已成功登录Java性能分析。待安装分析辅助软件的服务器已开启sshd。Java性能分析优先选用非交互shell(non-interactive shell)中的JAVA_HOME环境变量所指定的JRE版本运行分析辅助软件,其次选用非交互shell(non-interactive shell)中的PATH环境变量能发现的java命令运行分析已成功登录Java性能...
php.ini配置中文详解
m0_61248140的博客
03-17 1457
此指令描述了PHP注册GET, POST, Cookie, 环境 和 内置变量的顺序 (各自使用G, P, C, E 和 S , 一般使用 EGPCS 或 GPC). 注册使用从左往右的顺序, 新的值会覆盖旧的值.mysqli_connect()默认的端口号. 如果没有设置, mysql_connect() 会使用 $MYSQL_TCP_PORT。mysql_connect()默认的端口号. 如果没有设置, mysql_connect() 会使用 $MYSQL_TCP_PORT。
PHP为什么需要环境变量?底层原理是什么?
长风破浪会有时的博客
05-14 121
getenv() 可以用来读取指定的环境变量,putenv() 可以用来设置环境变量的值。这些函数实际上是对操作系统的 API 进行了封装,使得 PHP 可以方便地访问环境变量,而不需要了解底层的操作系统细节。底层原理是操作系统将环境变量存储在进程的内存空间中,并且允许应用程序访问这些变量。当 PHP 启动时,它会读取当前系统的环境变量,并将其存储在一个全局变量 $_ENV 中。环境变量是一些操作系统级别的设置,它们可以被应用程序用来存储和访问在操作系统上的一些常见参数,例如路径、IP地址、端口等等。
PHP环境安装教程
热门推荐
u011385940的专栏
03-15 1万+
composer 在php中是用来管理依赖关系的工具,在项目 composer.json 文件中声明依赖的外部工具库,composer会帮助安装这些依赖库文件。
什么是php环境变量,php环境变量是什么意思
weixin_42131628的博客
03-26 521
php环境变量是指配置php环境变量,只要在“电脑->高级->环境变量”中把“php.exe”路径配置上去即可完成php环境变量的配置。推荐:《PHP视频教程》php环境变量配置php环境变量。到我们电脑->高级->环境变量php.exe路径配置上去。以后就可以直接在CMD大黑框直接使用。不需要路径。相关介绍:自20世纪80年代以来,每个流行的操作系统都支持变量,就像...
PHP变量定义及常见预定义全局变量
VVIP______的博客
10-27 1240
文章目录前言一、变量概念二、变量命名2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、变量概念 变量是存储信息的容器 PHP 没有声明变量的命令。 变量在您第一次赋值给它的时候被创建。 PHP 中不需要初始化变量,但对变量进行初始化是个好习惯。未初始化的变量具有其类型的默认值。布尔类型的变量默认值是 FALSE,整
php需要配置环境变量
05-27
是的,为了在 Windows 上正确地使用 PHP,您需要将 PHP 的安装路径添加到系统的环境变量中。 以下是添加环境变量的步骤: 1. 打开“控制面板”,进入“系统和安全”菜单,选择“系统”选项。 2. 点击“高级系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

carefree798

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值