用户名:
密 码: 记住
您当前的位置:首页 > 网络编程 > php教程

php中禁止危险php函数的例子

时间:2015-01-23  来源:西部数据  作者:西部数据

在php中我们如果想让系统函数不被执行可以在php.ini中加上Disable_functions后面跟函数名就可以了.

禁用方法如下:打开/etc/php.ini文件,搜索定位到这行:

1.disable_functions = 

添加需禁用的函数名,比如如下代码:

phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen

相反的如果要运行php运行某个函数删除相应的函数即可,但文章有个“eval”函数,这个不是系统函数所以无法禁止不信大家可试下.

以上只是列了部分不叫常用的文件处理函数,你也可以把上面执行命令函数和这个函数结合,就能够抵制大部分的phpshell了.

但是我后来看一文章告诉我们这样做不是万能的在linux中可以直接突破Disable_functions执行Linux命令,代码如下:

  1. <?php  
  2. //PHP4调用方法  
  3. dl('../../../../../home/apache/htdocs/php4.so');  
  4. biguanspider('uname -a');//调用函数  
  5. ?> www.phpfensi.com 
  6. //开源代码phpfensi.com 
  7. <?php  
  8. //PHP5调用方法  
  9. dl('../../../../../home/apache/htdocs/php5.so');  
  10. spiderbiguan('uname -a');//调用函数  
  11. ?> 

很多管理员在封杀PHP危险函数的时候一般都是这样的:disable_functions = proc_open,exec,passthru,shell_exec,system,popen

但是如果编译PHP时带–enable-pcntl参数就危险了,可以用pcntl_exec函数执行指定程序,也可以反弹一个SHELL,在PHPINFO里查看编译参数.

描述:pcntl_exec — 在当前进程空间执行指定程序,具体的做法我就不写了,所以linux安全还是得从本身设置不要想到php这样配置就KO了.

来顶一下
返回首页
返回首页
推荐资讯
WiFi太不安全:7岁女孩11分钟内入侵公共网络 WiFi太不安全:7岁女孩11分钟内入侵近期刚刚发布研究说WiFi网络能获得人们手机里多少私人信息,
不服跑个分?人工智能也出现“刷分”乱象 不服跑个分?人工智能也出现“刷分2014年,人工智能领域突然爆发,成为了科研和科技创业的热门
相关文章
栏目更新
栏目热门