php禁用一些重要功能
passthru()
功能叙述性说明:我们同意将运行外部程序和回音输出。分类似至 exec()。
临界水平:高
exec()
功能叙述性说明:同意运行外部程序(例如 UNIX Shell 要么 CMD 命令等)。
危急等级:高
assert()
功能描写叙述:假设依照默认值来。在程序的运行过程中调用assert()来进行推断表达式,遇到false时程序也是会继续运行的。跟eval()类似。只是eval($code_str)仅仅是运行符合php编码规范的$code_str。assert的使用方法却更具体一点。
危急等级:高
system()
功能描写叙述:同意运行一个外部程序并回显输出。类似于 passthru()。
危急等级:高
chroot()
功能描写叙述:可改变当前 PHP 进程的工作根文件夹。仅当系统支持 CLI 模式PHP 时才干工作,且该函数不适用于 Windows 系统。
危急等级:高
chgrp()
功能描写叙述:改变文件或文件夹所属的用户组。
危急等级:高
chown()
功能描写叙述:改变文件或文件夹的全部者。
危急等级:高
shell_exec()
功能描写叙述:通过 Shell 运行命令。并将运行结果作为字符串返回。
危急等级:高
proc_open()
功能描写叙述:运行一个命令并打开文件指针用于读取以及写入。
危急等级:高
ini_restore()
功能描写叙述:可用于恢复 PHP 环境配置參数到其初始值。
危急等级:高
dl()
功能描写叙述:在 PHP 进行执行过程其中(而非启动时)载入一个 PHP 外部模块。
危急等级:高
readlink()
功能描写叙述:返回符号连接指向的目标文件内容。
危急等级:中
symlink()
功能描写叙述:在 UNIX 系统中建立一个符号链接。
危急等级:高
popen()
功能描写叙述:可通过 popen() 的參数传递一条命令,并对 popen() 所打开的文件进行运行。
危急等级:高
stream_socket_server()
功能描写叙述:建立一个 Internet 或 UNIX server连接。
危急等级:中
pfsockopen()
功能描写叙述:建立一个 Internet 或 UNIX 域的 socket 持久连接。
危急等级:高
putenv()
功能描写叙述:用于在 PHP 执行时改变系统字符集环境。在低于 5.2.6 版本号的 PHP 中,可利用该函数改动系统字符集环境后,利用 sendmail 指令发送特殊參数执行系统 SHELL 命令。
危急等级:高
改动方法:
打开/etc/php.ini文件,
查找到 disable_functions ,改动为:disable_functions=passthru,exec,assert,system,chroot,chgrp,chown,shell_exec,proc_open,ini_restore,dl,readlink,symlink,popen,stream_socket_server,pfsockopen,putenv
哦。eval禁用不了。须要借助:php Suhosin。
禁用的方法能够依据自己的环境来酌情加入,事实上curl_exec(),fopen(),file_get_contents()等都是非常危急的,另一些文件夹浏览的方法,可是实际项目中要用到,所以不能禁用了。
nginx的话,能够限制一些静态文件路径不能运行php。例如以下(文件夹改成自己的静态文件文件夹):
- location ~ /(style|html|cache|config|js|css|image|log|images|uploads|upload|attachments|templets)/.*\.(php|php5)? $ {
- deny all;
- }
这样安全性也会更好一些。然后兴许会多补充一些,工作也忙。
很多其它:http://www.webyang.net/Html/web/article_125.html
版权声明:本文博主原创文章,博客,未经同意不得转载。
php禁用一些重要功能的更多相关文章
- jquery禁用右键单击功能屏蔽F5刷新
1.禁用右键单击功能$(document).ready(function() { $(document).bind("contextmenu",function(e) { aler ...
- 禁用选择文本功能user-select
有时候,我们为了用户体验,需要禁用选择文本功能. 这需要用到一个CSS属性:user-select,user-select的文档点这里 user-select有两个值:none:用户不能选择文本tex ...
- session与cookie的区别是什么?如果客户端禁用了cookie功能,将会对session有什么影响?
cookie 和session 的区别: a.cookie数据存放在客户的浏览器上,session数据放在服务器上. b.cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE ...
- laravel 中禁用掉注册功能
想让 laravel 做单用户登录,禁止掉注册功能 在 RegisterController 添加以下方法 public function showRegistrationForm() { retur ...
- 联想电脑Fn+F6禁用触摸板功能不管用
我的原因是电脑没有安装触摸板驱动,解决方法:去联想官网根据自己的主机编号下载适合自己的触摸板驱动,安装重启即可解决
- Win7 如何禁用“切换用户”功能
1.按win+r,输入gpedit.msc,点击确定: 2.依次点击计算机配置--管理模块--系统--登录,右侧列表中找到“隐藏“快速用户切换”的入口点”: 3.双击隐藏“快速用户切换”的入口点,点击 ...
- win10上如何启用或禁用Windows功能
Windows10上提供了很多的功能,比如打印服务.传真服务.媒体服务等,怎样启用或禁用某些Windows功能呢? 工具/原料 windows10 方法/步骤 点击左下角的Windows图 ...
- 联想ThinkPadE455实现FN禁用(F1-F12标准功能与特殊功能切换)
系统:Win7 64 位 机型:联想ThinkPadE455笔记本 方法一:键盘Fn热键切换功能(亲测可用) Fn+Esc FnLk 组合键方法启用或禁用Fn锁定功能 具体说明(这个逻辑 ...
- WPF编程,窗体最大化、最小化、关闭按钮功能的禁用
原文:WPF编程,窗体最大化.最小化.关闭按钮功能的禁用 版权声明:我不生产代码,我只是代码的搬运工. https://blog.csdn.net/qq_43307934/article/detail ...
随机推荐
- Mean Shift简介
Mean Shift,我们 翻译“平均漂移”. 其集群,图像平滑. 图像分割和跟踪已广泛应用.因为我现在认为追踪,因此推出Mean Shift该方法用于目标跟踪.从而MeanShift較全面的介绍. ...
- 源代码版本控制工具TortoiseSVN,AnkhSVN最新版本下载地址
TortoiseSVN http://tortoisesvn.net/downloads.html 页面下部有中文语言补丁 AnkhSVN https://ankhsvn.open.collab.ne ...
- 【翻译】要理解Ext JS 5小工具
原版的:Understanding Widgets in Ext JS 5 在Ext JS 5,引入了新的"widgetcolumn",支持在网格的单元格中放置组件. 同一时候,还 ...
- QUIC简要
QUIC.即Quick UDP Internet Connection,类似于SPDY,相同也是由Google公司在现有已存协议之上进行了扩展设计,而旨在降低网络延迟.之前我曾介绍过SPDY的相关信息 ...
- 【新秀疯狂UML系列】——面向对象的技术
从软质工作开始,我们来到与面向对象的接触,接下来的学习材料似乎已经提到了面向对象,在与她的朋友去一个.所以,我们必须知道她多一点点. 一.何为面向对象? 面向对象(Object Oriented).是 ...
- ios 多线程开发(一)简介
简介 线程是在一个程序中并发的执行代码的方法之一.虽然有一些新的技术(operations, GCD)提供了更先进高效的并发实现,OS X和iOS同时也提供了创建和维护线程的接口. 这里将要介绍线程相 ...
- Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号
原文:Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号 原文出处:http://blog.csdn.net/dba_huangzj/arti ...
- 允许Ubuntu14.04"保存"屏幕亮度值
Ubuntu / Debian 该系统有一个共同的问题,也就是说,每个引导.系统会打开你的屏幕亮度调至最高值. 我很奇怪,为什么14.04这一问题的版本号依然不动. 但是,我们可以做一个脚本Ubunt ...
- 认识javascript范围和作用域链
范围 作用域就是变量和函数的可訪问范围.控制着变量和函数的可见性与生命周期,在JavaScript中变量的作用域有全局作用域和局部作用域. 全局和局部作用域以下用一张图来解释: 单纯的JavaScri ...
- Java彻底 - WEB容器的侦听具体解释 ServletContextListener
WEB容器的侦听器ServletContextListener主要用于监测容器启动和 当破坏需要做一些操作,听众将能够使用此做. ServletContextListener在Spring开始,然后再 ...