大多数的PHPer都知道,在PHP中有一些函数非常的"危险" , 但是我们在编程中又基本用不到的函数
比如eval()可以把字符串作为PHP代码执行,chmod()函数可以改变文件的权限
这些函数可以造成很大的破坏,所以一般都需要禁掉. 而有人会问,我不用他不就ok了,干嘛要禁掉呢,那多麻烦
不不不,coder不用这些函数,不代表hacker不会用.
比如常见的一句话木马<?php @eval($_POST[value]);?>
如果不禁用eval()的话,hacker就可以通过一句话木马,小马传大马,然后直接提权,危害极大!
坑:eval()是无法用php.ini中的disable_functions禁止掉的,因为eval()属于语言结构而不是函数,需要使用Suhosin插件来禁用
网友评论