这篇文章主要讲解了“PHP危险函数有哪些，需要不需要禁用呢？”，文中的讲解内容简单清晰，易于学习与理解，下面请大家跟着小编的思路慢慢深入，一起来研究和学习“PHP危险函数有哪些，需要不需要禁用呢？”吧！

error_log()

功能描述：将错误信息发送到指定位置（文件）。 
安全备注：在某些版本的 PHP 中，可使用 error_log() 绕过 PHP safe mode， 执行任意命令。 
危险等级：低

phpinfo()

功能描述：输出 PHP 环境信息以及相关的模块、WEB 环境等信息。 
危险等级：中

scandir() 

功能描述：列出指定路径中的文件和目录。 
禁用建议：不建议禁用，因为thinkphp框架需要调用。
危险等级：中

syslog() 

功能描述：可调用 UNIX 系统的系统层 syslog() 函数。 
危险等级：中

readlink() 

功能描述：返回符号连接指向的目标文件内容。 
危险等级：中

stream_socket_server() 

功能描述：建立一个 Internet 或 UNIX 服务器连接。 
禁用建议：不建议禁用，workerman框架需要使用。
危险等级：中

passthru()  

功能描述：允许执行一个外部程序并回显输出，类似于 exec()。 
危险等级：高 

exec() 

功能描述：允许执行一个外部程序（如 UNIX Shell 或 CMD 命令等）。 
危险等级：高

system() 

功能描述：允许执行一个外部程序并回显输出，类似于 passthru()。 
危险等级：高

chroot() 

功能描述：可改变当前 PHP 进程的工作根目录，仅当系统支持 CLI 模式 PHP 时才能工作，且该函数不适用于 Windows 系统。 
危险等级：高

chgrp() 

功能描述：改变文件或目录所属的用户组。 
危险等级：高

chown() 

功能描述：改变文件或目录的所有者。 
危险等级：高

shell_exec() 

功能描述：通过 Shell 执行命令，并将执行结果作为字符串返回。 
危险等级：高

proc_open() 

功能描述：执行一个命令并打开文件指针用于读取以及写入。 
危险等级：高

proc_get_status() 

功能描述：获取使用 proc_open() 所打开进程的信息。 
危险等级：高

ini_set() 

功能描述：可用于修改、设置 PHP 环境配置参数。

禁用建议：不建议禁用，因为很多程序需要使用 ，比如：

<?php
ini_set("error_reporting","E_ALL & ~E_NOTICE");//设置 PHP的报错级别并返回当前级别。
?>

危险等级：高

ini_alter() 

功能描述：是 ini_set() 函数的一个别名函数，功能与 ini_set() 相同。
危险等级：高

ini_restore() 

功能描述：可用于恢复 PHP 环境配置参数到其初始值。 
危险等级：高

dl() 

功能描述：在 PHP 进行运行过程当中（而非启动时）加载一个 PHP 外部模块。 
危险等级：高

pfsockopen() 

功能描述：建立一个 Internet 或 UNIX 域的 socket 持久连接。 
危险等级：高

symlink() 

功能描述：在 UNIX 系统中建立一个符号链接。 
危险等级：高

popen() 

功能描述：可通过 popen() 的参数传递一条命令，并对 popen() 所打开的文件进行执行。 
危险等级：高

putenv() 

功能描述：用于在 PHP 运行时改变系统字符集环境。在低于 5.2.6 版本的 PHP 中，可利用该函数 修改系统字符集环境后，利用 sendmail 指令发送特殊参数执行系统 SHELL 命令。 
危险等级：高

fsockopen()

功能描述：一个可以实现远程登录访问的函数，也容易被黑客利用进行PHPDDOS攻击。phpddos原理是向外发upd包，curl当然也可以，但默认情况下fsockopen可用，curl不默认加载。
危险等级：高

禁用方法：

打开php.ini文件， 查找到disable_functions，在等于号（=）后面添加需禁用的函数名，如下：

syslog,readlink,passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,symlink,popen,putenv,fsocket,fsockopen

disable_functions =syslog,readlink,passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,symlink,popen,putenv,fsocket,fsockopen

到此这篇关于“PHP危险函数有哪些，需要不需要禁用呢？”的文章就介绍到这了,更多相关PHP危险函数有哪些，需要不需要禁用呢？内容，欢迎关注群英网络技术资讯频道，小编将为大家输出更多高质量的实用文章！

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：mmqy2019@163.com进行举报，并提供相关证据，查实之后，将立刻删除涉嫌侵权内容。

猜你喜欢

• PHP中去掉json反斜杠的方法有几种

  在本篇文章里小编给大家整理了一篇关于php去掉json反斜杠的实例讲解，有兴趣的朋友们可以参考学习下。

• PHP中如何进行图像处理，有什么技巧

  PHP中提供了一些对图像进行编辑处理的函数，其中最为典型的应用为随机图形验证码、图片水印以及数据统计中饼状图和柱状图的生成等 PHP中有的图形函数可以直接使用，但多数需要在安装了GD2函数库后才能使用。在Windows平台下安装GD2库很简单，就是PHP5自带的ext目录中的php_gd2_dll文件。如果没有，说明安装PHP时没有安装GD2库，打开php.ini文件，查看php.ini文件

• PHP实现大文件上传功能失败怎么办

  在本篇文章里小编给大家整理的是一篇关于php没有文件被上传的实例分析及解决办法，有兴趣的朋友们可以跟着学习参考下。

• PHP单例模式的实际的应用场景有哪些

  单例模式(Singleton)也叫单态模式，是设计模式中最为简单的一种模式，甚至有些模式大师都不称其为模式，称其为一种实现技巧，因为设计模式讲究对象之间的关系的抽象，而单例模式只有自己一个对象，也因此有些设计大师并把把其称为设计模式之一。

• PHP数组去重的函数有什么，怎样使用呢？

  php中实现数组去重的函数：1、array_unique()先将值作为字符串排序，然后对每个值只保留第一个遇到的键名，接着忽略所有后面的键名。2、使用array_flip作为数组去重时数组的值必须能够作为键名。