我的VPS设置为禁用以下功能:

root@vps [~]# grep disable_functions /usr/local/lib/php.ini
disable_functions = dl, exec, shell_exec, system, passthru, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid

PHP有足够多的潜在可破坏函数，您的列表可能太大，grep无法处理。例如，PHP有chmod和chown，它们可以用来简单地禁用一个网站。

EDIT:也许您希望构建一个bash脚本，在一个文件中搜索按危险(坏的函数、更坏的函数、永远不应该使用的函数)分组的函数数组，然后计算该文件所造成的危险的相对百分比。然后将其输出到目录树中，并在每个文件旁边标记百分比，如果超过阈值，例如30%的危险。

您可以在RIPS /config/sink .php中找到持续更新的敏感接收器(可利用的php函数)及其参数列表，这是一个用于php应用程序漏洞的静态源代码分析器，也可以检测php后门。

我特别想将unserialize()添加到这个列表中。长期以来，它一直存在各种漏洞，包括任意代码执行、拒绝服务和内存信息泄漏。永远不应该对用户提供的数据调用它。这些vuls中的许多已经在过去的露水年的发布中被修复，但它仍然保留了一对讨厌的vuls，在目前的写作时间。

要了解其他关于危险php函数/使用的信息，请参阅加固php项目及其建议。还有最近的PHP安全月和2007年的PHP bug月项目

还要注意，按照设计，反序列化对象将导致执行构造函数和析构函数;另一个不调用用户提供的数据的原因。

平台特定的，但也是理论的执行向量:

dotnet_load () 新的COM(“WScript.Shell”) 新的Java(“java.lang.Runtime”) Event_new()—非常最终

而且还有更多的伪装方法:

Proc_open是popen的别名 中的call_user_func_array (exE .chr(99),数组(“/ usr / bin /损害”,“——”)); File_put_contents ("/cgi-bin/ nextinvoke .cgi") && chmod(…) setDefaultStub -检查.phar文件中的代码 runkit_function_rename("exec"， "innocent_name")或APD rename_function

除了eval语言结构之外，还有一个允许任意代码执行的函数:assert

assert('ex' . 'ec("kill --bill")');

危险的语法元素怎么办?

“变量变量”($$var)将在当前作用域中找到一个名为$var的变量。如果使用错误，远程用户可以修改或读取当前作用域中的任何变量。基本上是一个较弱的eval。

例如:你写一些代码$$uservar = 1;，然后远程用户将$uservar设置为“admin”，导致$admin在当前范围内被设置为1。