这里没有提到一个有趣的漏洞来源。PHP允许字符串中包含0x00字节。底层(libc)函数将此作为字符串的结束。

这允许在某些情况下(糟糕的实现)在PHP中的健康检查可以被愚弄，例如在如下情况下:

/// note: proof of principle code, don't use
$include = $_GET['file'];
if ( preg_match("/\\.php$/",$include) ) include($include);

通过调用script.php?file=somefile%00.php，这可能包括任何文件——不仅仅是以.php结尾的文件

因此，任何不遵守PHP字符串长度的函数都可能导致一些漏洞。

我担心我的回答可能有点太消极了，但是……

恕我直言，每一个单独的函数和方法都可以用于邪恶的目的。可以将其视为邪恶的涓滴效应:变量被分配给用户或远程输入，变量被用于函数，函数返回值被用于类属性，类属性被用于文件函数，等等。记住:一个伪造的IP地址或中间人攻击可以利用你的整个网站。

Your best bet is to trace from beginning to end any possible user or remote input, starting with $_SERVER, $_GET, $_POST, $_FILE, $_COOKIE, include(some remote file) (if allow_url_fopen is on), all other functions/classes dealing with remote files, etc. You programatically build a stack-trace profile of each user- or remote-supplied value. This can be done programatically by getting all repeat instances of the assigned variable and functions or methods it's used in, then recursively compiling a list of all occurrences of those functions/methods, and so on. Examine it to ensure it first goes through the proper filtering and validating functions relative to all other functions it touches. This is of course a manual examination, otherwise you'll have a total number of case switches equal to the number of functions and methods in PHP (including user defined).

或者为了只处理用户输入，在所有脚本的开头初始化一个静态控制器类，1)根据允许的目的白名单验证和存储所有用户提供的输入值;2)删除输入源(即$_SERVER = null)。你可以看出这有一点纳粹主义。

最近在security.stackexchange.com上对此有一些讨论

可用于任意代码执行的函数

好吧，这缩小了一点范围-但由于'print'可以用来注入javascript(因此窃取会话等)，它仍然有点随意。

不是列出应该被列入黑名单或不允许的函数。相反，我想要一个grep-able列表

这是一个明智的方法。

不过，一定要考虑编写自己的解析器——很快你就会发现基于grep的方法会失控(awk会更好一点)。很快你就会开始希望你也实现了一个白名单!

除了那些显而易见的，我建议标记任何包含了字符串字面量以外的参数的东西。还要注意__autoload()。

危险的语法元素怎么办?

“变量变量”($$var)将在当前作用域中找到一个名为$var的变量。如果使用错误，远程用户可以修改或读取当前作用域中的任何变量。基本上是一个较弱的eval。

例如:你写一些代码$$uservar = 1;，然后远程用户将$uservar设置为“admin”，导致$admin在当前范围内被设置为1。

我很惊讶没有人提到echo和print作为安全利用点。

跨站脚本(XSS)是一种严重的安全漏洞，因为它比服务器端代码执行漏洞更常见。

除了eval语言结构之外，还有一个允许任意代码执行的函数:assert

assert('ex' . 'ec("kill --bill")');