我很惊讶没有人提到echo和print作为安全利用点。

跨站脚本(XSS)是一种严重的安全漏洞，因为它比服务器端代码执行漏洞更常见。

我的VPS设置为禁用以下功能:

root@vps [~]# grep disable_functions /usr/local/lib/php.ini
disable_functions = dl, exec, shell_exec, system, passthru, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid

PHP有足够多的潜在可破坏函数，您的列表可能太大，grep无法处理。例如，PHP有chmod和chown，它们可以用来简单地禁用一个网站。

EDIT:也许您希望构建一个bash脚本，在一个文件中搜索按危险(坏的函数、更坏的函数、永远不应该使用的函数)分组的函数数组，然后计算该文件所造成的危险的相对百分比。然后将其输出到目录树中，并在每个文件旁边标记百分比，如果超过阈值，例如30%的危险。

php手册上的倒勾操作符

有很多PHP漏洞可以通过PHP.ini文件中的设置来禁用。最明显的例子是register_globals，但是根据设置，也可以通过HTTP从远程机器包含或打开文件，如果程序对其include()或文件处理函数使用变量文件名，则可以利用这一点。

PHP还允许通过在变量名后面添加()来调用变量函数——例如$myvariable();将调用变量指定的函数名。这是可利用的;例如，如果攻击者可以让变量包含“eval”这个词，并且可以控制参数，那么他可以做任何他想做的事情，即使程序实际上不包含eval()函数。

你必须扫描include($tmp)和require(HTTP_REFERER)以及*_once。如果一个利用脚本可以写入一个临时文件，它可以在以后包含它。基本上是两步计算。

甚至可以隐藏远程代码，比如:

 include("data:text/plain;base64,$_GET[code]");

此外，如果你的网络服务器已经被入侵，你不会总是看到未编码的邪恶。利用shell通常是gzip编码的。考虑include("zlib:script2.png.gz");这里没有eval，还是一样的效果。

我知道move_uploaded_file已经被提到了，但是文件上传通常是非常危险的。仅仅是$_FILES的存在就应该引起一些关注。

可以将PHP代码嵌入到任何类型的文件中。带有文本注释的图像尤其容易受到攻击。如果代码按原样接受在$_FILES数据中找到的扩展名，那么这个问题就特别麻烦。

例如，用户可以上传一个有效的带有嵌入式PHP代码的PNG文件作为“foo.php”。如果脚本特别简单，它实际上可能会将文件复制为“/uploads/foo.php”。如果服务器被配置为允许在用户上传目录中执行脚本(通常情况下，这是一个严重的疏忽)，那么您可以立即运行任何PHP代码。(即使图像保存为。png格式，也有可能通过其他安全漏洞让代码执行。)

一份(非详尽的)上传检查清单:

一定要分析内容，以确保上传的内容是它所声称的类型 将文件保存为一个已知的、安全的文件扩展名，该扩展名永远不会被执行 确保在用户上传目录中禁用PHP(以及任何其他代码执行)