最近在security.stackexchange.com上对此有一些讨论

可用于任意代码执行的函数

好吧，这缩小了一点范围-但由于'print'可以用来注入javascript(因此窃取会话等)，它仍然有点随意。

不是列出应该被列入黑名单或不允许的函数。相反，我想要一个grep-able列表

这是一个明智的方法。

不过，一定要考虑编写自己的解析器——很快你就会发现基于grep的方法会失控(awk会更好一点)。很快你就会开始希望你也实现了一个白名单!

除了那些显而易见的，我建议标记任何包含了字符串字面量以外的参数的东西。还要注意__autoload()。

让我们将pcntl_signal和pcntl_alarm添加到列表中。

在这些函数的帮助下，您可以绕过php.ini或脚本中创建的任何set_time_limit限制。

例如，该脚本将运行10秒，尽管set_time_limit(1);

(感谢塞巴斯蒂安·伯格曼的推文和要点:

<?php
declare(ticks = 1);

set_time_limit(1);

function foo() {
    for (;;) {}
}

class Invoker_TimeoutException extends RuntimeException {}

class Invoker
{
    public function invoke($callable, $timeout)
    {
        pcntl_signal(SIGALRM, function() { throw new Invoker_TimeoutException; }, TRUE);
        pcntl_alarm($timeout);
        call_user_func($callable);
    }
}

try {
    $invoker = new Invoker;
    $invoker->invoke('foo', 1);
} catch (Exception $e) {
    sleep(10);
    echo "Still running despite of the timelimit";
}

我很惊讶没有人提到echo和print作为安全利用点。

跨站脚本(XSS)是一种严重的安全漏洞，因为它比服务器端代码执行漏洞更常见。

php手册上的倒勾操作符

你必须扫描include($tmp)和require(HTTP_REFERER)以及*_once。如果一个利用脚本可以写入一个临时文件，它可以在以后包含它。基本上是两步计算。

甚至可以隐藏远程代码，比如:

 include("data:text/plain;base64,$_GET[code]");

此外，如果你的网络服务器已经被入侵，你不会总是看到未编码的邪恶。利用shell通常是gzip编码的。考虑include("zlib:script2.png.gz");这里没有eval，还是一样的效果。

这些函数也会产生一些不好的影响。

函数() unserialize () register_tick_function () register_shutdown_function ()

前两种方法会耗尽所有可用内存，而后者会继续耗尽内存……