[笔记]php.ini禁用部分函数

分类:技术 6.68k浏览

如今有了VPS,可以自由对php.ini等设置进行修改。因为安全的需要,部分函数需要将其屏蔽(当然最终还是要根据自己的需求)。

PHP.ini 里有个 disable_functions 开关选项,此选项可关闭一些危险的函数,比如system,exec 等。比如: disable_functions = phpinfo , 如果在文件中调用  phpinfo() 函数,那么在 error_reporting 开启的情况下,会提示如下错误:

Warning: phpinfo() has been disabled for security reasons

目前N多服务器主机都没有屏蔽这个函数,可能是为了方便客户或自身的需求。当然我们可以利用 google搜索: inurl:phpinfo.php 就可查看大量的主机信息,一般为管理员进行调试的时候上传后并未删除的文件。

我的屏蔽函数如下:

disable_functions= phpinfo,dl, exec, system, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, leak, apache_child_terminate, escapeshellcmd, shell-exec, crack_check, crack_closedict, crack_getlastmessage, crack_opendict, psockopen, php_u, symlink, ini_restore, posix_getpwuid, pfsockopen