PHP安全代码审计手册[总结版] - 网站安全 - 自学

在 PHP 中可由用户输入的变量

$_SERVER $_GET $_POST $_COOKIE $_REQUEST $_FILES $_ENV $_HTTP_COOKIE_VARS $_HTTP_ENV_VARS $_HTTP_GET_VARS $_HTTP_POST_FILES $_HTTP_POST_VARS $_HTTP_SERVER_VARS

可能允许命令注入的函数

system exec passthru `` shell_exec popen proc_open pcntl_exec

可能允许文件包含的函数

include include_once require require_once show_source highlight_file readfile file_get_contents fopen file

可能允许代码注入的函数

eval preg_replace+/e assert call_user_func call_user_func_array create_function 可能允许SQL注入的 SQL语句函数 insert delete update select 可能允许攻击者恶意操作文件的函数 copy rmdir unlink delete fwrite chmod fgetc fgetcsv fgets fgetss file file_get_contents fread readfile ftruncate file_put_contents fputcsv fputs 更多: http://ir.php.net/manual/en/ref.filesystem.php

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://haodehen.cn/did15539

更新时间：2022-09-13 阅读：79次