大多數(shù)的PHPer都知道,在PHP中有一些函數(shù)非常的"危險(xiǎn)" , 但是我們在編程中又基本用不到的函數(shù)
比如eval()
可以把字符串作為PHP代碼執(zhí)行,chmod()
函數(shù)可以改變文件的權(quán)限
這些函數(shù)可以造成很大的破壞,所以一般都需要禁掉. 而有人會(huì)問,我不用他不就ok了,干嘛要禁掉呢,那多麻煩
不不不,coder不用這些函數(shù),不代表hacker不會(huì)用.
比如常見的一句話木馬<?php @eval($_POST[value]);?>
如果不禁用eval()
的話,hacker就可以通過一句話木馬,小馬傳大馬,然后直接提權(quán),危害極大!
坑:eval()
是無法用php.ini中的disable_functions禁止掉的,因?yàn)?code>eval()屬于語言結(jié)構(gòu)而不是函數(shù),需要使用Suhosin
插件來禁用
相關(guān)連接:https://www.jb51.net/article/29750.htm