使用4bit发现了几个缓冲区溢出 字符解释文本的函数。 htmlentities () htmlspecialchars函数()

人在巅峰时，好的防御是用什么方法 Mb_convert_encoding()转换为单个 先编码再解释。

代码中的大多数攻击使用多个访问源或多个步骤来执行自己。我不仅会搜索含有恶意代码的代码或方法，还会搜索所有执行或调用它的方法、函数。最好的安全性还包括对输入和输出的表单数据进行编码和验证。

在定义系统变量时也要注意，它们之后可以从代码中的任何函数或方法调用。

我特别想将unserialize()添加到这个列表中。长期以来，它一直存在各种漏洞，包括任意代码执行、拒绝服务和内存信息泄漏。永远不应该对用户提供的数据调用它。这些vuls中的许多已经在过去的露水年的发布中被修复，但它仍然保留了一对讨厌的vuls，在目前的写作时间。

要了解其他关于危险php函数/使用的信息，请参阅加固php项目及其建议。还有最近的PHP安全月和2007年的PHP bug月项目

还要注意，按照设计，反序列化对象将导致执行构造函数和析构函数;另一个不调用用户提供的数据的原因。

危险的语法元素怎么办?

“变量变量”($$var)将在当前作用域中找到一个名为$var的变量。如果使用错误，远程用户可以修改或读取当前作用域中的任何变量。基本上是一个较弱的eval。

例如:你写一些代码$$uservar = 1;，然后远程用户将$uservar设置为“admin”，导致$admin在当前范围内被设置为1。

有很多PHP漏洞可以通过PHP.ini文件中的设置来禁用。最明显的例子是register_globals，但是根据设置，也可以通过HTTP从远程机器包含或打开文件，如果程序对其include()或文件处理函数使用变量文件名，则可以利用这一点。

PHP还允许通过在变量名后面添加()来调用变量函数——例如$myvariable();将调用变量指定的函数名。这是可利用的;例如，如果攻击者可以让变量包含“eval”这个词，并且可以控制参数，那么他可以做任何他想做的事情，即使程序实际上不包含eval()函数。

让我们将pcntl_signal和pcntl_alarm添加到列表中。

在这些函数的帮助下，您可以绕过php.ini或脚本中创建的任何set_time_limit限制。

例如，该脚本将运行10秒，尽管set_time_limit(1);

(感谢塞巴斯蒂安·伯格曼的推文和要点:

<?php
declare(ticks = 1);

set_time_limit(1);

function foo() {
    for (;;) {}
}

class Invoker_TimeoutException extends RuntimeException {}

class Invoker
{
    public function invoke($callable, $timeout)
    {
        pcntl_signal(SIGALRM, function() { throw new Invoker_TimeoutException; }, TRUE);
        pcntl_alarm($timeout);
        call_user_func($callable);
    }
}

try {
    $invoker = new Invoker;
    $invoker->invoke('foo', 1);
} catch (Exception $e) {
    sleep(10);
    echo "Still running despite of the timelimit";
}