PHP:如何禁用危险函数

在云计算领域，PHP 是一种流行的编程语言，常用于 Web 开发。为了保护服务器和应用程序的安全，可以禁用一些危险的 PHP 函数。以下是一些建议：

禁用 eval() 函数

使用 eval() 函数可以执行动态生成的 PHP 代码，这可能导致安全漏洞。可以通过在 php.ini 文件中添加以下代码来禁用此函数：

disable_functions = eval

禁用 exec() 函数

使用 exec() 函数可以在服务器上执行外部程序，这可能导致安全漏洞。可以通过在 php.ini 文件中添加以下代码来禁用此函数：

disable_functions = exec

禁用 shell_exec() 函数

使用 shell_exec() 函数可以执行系统命令，这可能导致安全漏洞。可以通过在 php.ini 文件中添加以下代码来禁用此函数：

disable_functions = shell_exec

禁用 system() 函数

使用 system() 函数可以执行系统命令，这可能导致安全漏洞。可以通过在 php.ini 文件中添加以下代码来禁用此函数：

disable_functions = system

禁用 passthru() 函数

使用 passthru() 函数可以执行外部程序，并将输出直接发送到客户端，这可能导致安全漏洞。可以通过在 php.ini 文件中添加以下代码来禁用此函数：

disable_functions = passthru

禁用 popen() 函数

使用 popen() 函数可以打开一个管道，并将输出发送到客户端，这可能导致安全漏洞。可以通过在 php.ini 文件中添加以下代码来禁用此函数：

disable_functions = popen

禁用 proc_open() 函数

使用 proc_open() 函数可以打开一个进程，并将输出发送到客户端，这可能导致安全漏洞。可以通过在 php.ini 文件中添加以下代码来禁用此函数：

disable_functions = proc_open

禁用 pcntl_exec() 函数

使用 pcntl_exec() 函数可以执行外部程序，这可能导致安全漏洞。可以通过在 php.ini 文件中添加以下代码来禁用此函数：

disable_functions = pcntl_exec

禁用 preg_replace() 函数

使用 preg_replace() 函数可以执行正则表达式替换，这可能导致安全漏洞。可以通过在 php.ini 文件中添加以下代码来禁用此函数：

disable_functions = preg_replace

禁用 assert() 函数

使用 `assert()` 函数可以执行动态生成的 PHP 代码，这可能导致安全漏洞。可以通过在 php.ini 文件中添加以下代码来禁用此函数：

```

disable_functions = assert

```

通过禁用这些危险的 PHP 函数，可以提高服务器和应用程序的安全性。

页面内容是否对你有帮助？

有帮助

没帮助

zend framework 2如何禁用视图模板执行全局函数？

我可以运行这个危险的php函数。eval("phpinfo();");?> 如何禁用全局功能？并且必须使用视图插件中定义的函数，即必须启动$this-> function ()而不是function()；

浏览 3提问于2014-10-25得票数 1

1回答

如何在安全模式下运行PHP？

、、、

不久前，PHP安全模式已被废弃。所以我不能用它。我计划为一个从我那里租来的客户端运行一个游戏服务器，我会给他一个directory-FTP。但是，它会运行PHP，有些插件可能会在允许的目录之外使用诸如unlink()之类的函数，从而能够删除其他危险的服务器文件.并且应该禁用诸如exec()或任何恶意的、危险的函数等函数。它们限制了您可以执行的操作，并且不允许您使用PHP进入允许的目录之外，并且禁用了诸如exec()

浏览 0提问于2017-09-21得票数 -1

2回答

共享用户使用PHP的权限--有什么建议吗？

我希望允许用户在我的网页上使用php创建自己的应用程序。问题是他们可以访问一些危险的命令，比如chmod()。我不知道该怎么办。我想用eval()运行他们的应用程序，但我不知道多少危险的命令，我想阻止他们使用其中的任何一个。所以，当代码中有危险的内容时，也许任何人都可以创建一个函数来运行die()？编辑：我不想禁用eval()。我想防止用户使用可能会危及网站的功能。编辑：我不拥有访问php.ini的权限，因为我正在处理子域，整个域只有一个php.in

浏览 6提问于2016-09-02得票数 0

回答已采纳

1回答

如何在Wordpress中禁用PHP函数？

我想禁用危险的功能，如系统和执行，作为一种安全预防措施。这个站点使用的是一个简单的PHP服务器，而不是apache2或nginx。php -S 127.0.0.1:8001 -f /var/www/html/wordpress/ 因为，禁用/etc/php/7.x/apache2/php.ini中的函数并不重要。我可以在/etc/<e

浏览 0提问于2021-09-11得票数 0

1回答

如何以最简单的方式禁用lua中的危险函数？

、、

可能的重复：我使用这个函数来加载所有的lib，我想跳过所有像IO这样的危险库，但是我只是找不到任何关于如何禁用lib的文档。我如何禁用某些libs？是否有更危险的库可以获得对系统的脚本访问？

浏览 3提问于2011-08-08得票数 6

1回答

如何只对一个域启用具有shell_exec限制的open_basedir？

、、、

我在我的shell_exec中禁用了所有危险的php函数，包括php.ini。

浏览 12提问于2013-09-30得票数 0

回答已采纳

1回答

PHP ini问题

在php.ini中，'disable_functions‘指令可用于禁用某些您可能认为不必要或危险的功能，方法是将它们用逗号分隔。我只想知道，是否可以使用php的函数来设置'disable_functions‘：例如，下面这行代码是否正确？

浏览 0提问于2009-12-11得票数 0

回答已采纳

3回答

PHP -在“安全模式”下运行外部函数

、

我正在尝试用PHP编写一个网站，允许用户输入PHP代码，然后能够在我的服务器上运行它。但是，我希望能够禁用某些功能(文件访问、数据库访问等)。基本上，我希望代码运行时不会给服务器带来任何风险，如果代码确实试图做一些危险的事情，我只希望代码停止运行(我不介意它只是停止、产生错误或继续运行，而忽略危险的代码)。这是可能的吗?如果可能，我如何实现这一点？谢谢:)

浏览 1提问于2013-07-08得票数 0

回答已采纳

3回答

禁用htaccess中的php函数

、、

有一个为站点网页服务的现有框架(前端控制器、orm等等)，所以我不能在PHP中使用禁用函数。否则什么都不能用。我试图将输入保存在一个文件中，然后用一个执行程序运行它，如下所示：但是输出的错误将不同于我试图采用的最后一个解决方案是在php_value或.htaccess中使用httpd.conf或.htaccess，以便<

浏览 1提问于2013-01-26得票数 3

回答已采纳

2回答

TYPO3 6需要哪些PHP函数？

、

系统环境检查告诉我，我的服务器上禁用了一些PHP函数。我在我的服务器上使用Froxlor来管理域和类似的东西。因此，我完全控制了这台机器，但我不确定哪些功能是真正需要的。有些功能对我来说似乎很危险，所以我不想启用所有在我的机器上被禁用的功能。TYPO3将以下功能列为禁用状态： disable_functions=parse_ini_file passthru popen proc_close proc_get_status proc_niceproc_open proc_terminat

浏览 2提问于2013-05-03得票数 3

回答已采纳

1回答

如何在php web服务器中使用python脚本

、、

我正在尝试从php执行python脚本，在我的本地服务器上它工作得很好。：有没有办法在php web服务器上执行python脚本？链接到我的网站：$tmp =`/usr/

浏览 3提问于2014-10-16得票数 1

2回答

从php运行solr服务器

、、

我希望通过php做到这一点。

浏览 1提问于2013-06-07得票数 0

3回答

危险的php函数

我将用户输入的php函数存储到mySQL数据库中，这些函数需要能够执行。这些函数都很简单，不需要任何高级php代码。因此，如果黑客先生进入管理员部分，在保存到数据库之前，我想过滤掉任何可能造成严重破坏的php函数。那么，还有什么是危险的，应该被移除呢？ftp_rawlistini_alterini_restore

浏览 2提问于2011-06-25得票数 2

回答已采纳

2回答

Ubuntu 13:如何防止用户使用php访问文件系统

、、

如何防止这些用户使用PHP访问系统？现在，我正在使用suphp作为他们自己的代码，但是他们仍然可以查看其他用户的主目录中的文件，等等。

浏览 0提问于2014-02-27得票数 1

1回答

Angular 8 DomSanitizer白名单？

、、

默认情况下，angular domsanitizer会删除危险元素。我知道我可以通过使用bypassSecurityTrustHtml函数和类似函数来禁用它。(https://angular.io/api/platform-browser/DomSanitizer) 由于内容将是用户生成的，但是，我不能简单地绕过Domsanitizer，因为它太危险了。如果可能，我将如何做到这一点？

浏览 30提问于2020-01-15得票数 1

回答已采纳

1回答