如果允许用户输入PHP，应禁用哪些功能？

Question

假设我希望我的用户允许在我的页面上创建PHP脚本，并将这些页面保存在目录中。我应该禁用哪些功能才不会被黑客入侵？或者我该怎么做？首先，我不会允许人们通过PHP文件上传文件（不知道如何去做），还有什么？

Answer 1

• 文件处理（fopen，fclose，fwrite等）
• 文件浏览（opendir，readdir等）
• 执行（exec，shell等）
• 远程文件访问（ allow_url_include php.ini指令）

其他任何你可能看到的是harmf UL认证。将自己置于“破解者”的位置，你会用什么方式来查看你的系统或环境，并且拒绝任何你认为有害的东西。

Answer 2

而不是重新键入的所有有用的东西，在这个家伙stackexchange网站，我提供你一个链接先生：https://security.stackexchange.com/questions/1382/disable-insecure-dangerous-php-functions

和几个功能：

“apache_child_terminate，apache_setenv，define_syslog_variables，escapeshellarg，escapeshellcmd， eval，exec，fp，fput，ftp_connect，ftp_exec，ftp_get，ftp_login，ftp_nb_fput，ftp_put，ftp_raw，ftp_rawlist，highlight_file，ini_alter，ini_get_all，ini_restore，inject_code，mysql_pconnect，openlog，passthru，php_uname，phpAds_remoteInfo，phpAds_XmlRpc，phpAds_xmlrpcDecode，phpAds_xmlrpcEncode， popen，posix_getpwuid，posix_kill，posix_mkfifo，posix_setpgid，posix_setsid，posix_setuid，po six_setuid，posix_uname，proc_close，proc_get_status，proc_nice，proc_open，proc_terminate，了shell_exec，系统日志，系统，xmlrpc_entity_decode”

Answer 3

在这种情况下，我不能让他们执行PHP文件，即使它可能RO禁用数以千计的功能运行它们。

对于此它更好地允许用户编写xml。解析器会读取它并相应地执行它。大多数编程语言功能都可以在xml中实现。看看ant是如何做到的。有循环，条件语句等

Answer 4

你不能让PHP成黑名单各个功能安全的语言 - 也有可以被恶意使用太多的。

Answer 5

我会以相反的方式去做。我会为用户提供他们可以使用的PHP子集。

然后，您只需验证它们发送的内容是否包含在该安全列表中。

另外，您可以创建自己的函数来替换某些危险的函数。