溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

PHP5.4中刪除的安全函數

發(fā)布時間:2020-08-06 14:59:57 來源:網絡 閱讀:517 作者:serverxx0 欄目:web開發(fā)

前幾天配置PHP5.4的時候發(fā)現PHP新版已經在一些安全函數方面進行了增改,從php自身防止一些不必要的漏洞,因此開發(fā)人員在寫代碼時也需要注意版本的兼容。下面講幾個涉及安全方面的函數進行說明。
1、safe_mode
狀態(tài):已刪除
描述:此函數主要限制系統(tǒng)相關的文件打開、命令執(zhí)行等函數(具體影響函數見參考1)。當然現在也有bypasss safe_mode的方法(見參考2),通過com接口來繞過。
解決辦法:可以通過配置php.ini中的disable_functions函數列表進行限制指定函數。

2、magic_quotes_gpc
狀態(tài):已刪除 (magic_quotes_runtime、magic_quotes_sybase 刪除)
描述:此函數在PHP <= 4.2.3默認開,會自動對GPC (Get/Post/Cookie)提交的值中的’, “, 和空格進行轉義,PHP5.4中get_magic_quotes_gpc()默認返回false。
解決辦法:基本上還是不受影響,先檢測狀態(tài),然后采用mysql_real_escape_string進行轉義處理。

3、register_globals
狀態(tài):已刪除
描述:此函數雖然從PHP>>4.2開始默認由on改為off,但是如果程序員開啟的話會導致變量覆蓋等安全問題,特別是結合文件包含漏洞等。
解決辦法:可以結合前面sablog源碼中的函數進行改寫(采用extract函數).

4、session_register
狀態(tài):已刪除(session_unregister()、session_is_registered 刪除)
描述:采用session認證的時候可以用該函數注冊session變量。
解決辦法:采用$_SESSION數組進行注冊變量。

參考:
http://hi.baidu.com/zhangguanshi/blog/item/0a5bf51771a54e42f3de32d1.html
http://luoq.net/PHP-COM-functions/
http://php.net/releases/5_4_0.php


向AI問一下細節(jié)

免責聲明:本站發(fā)布的內容(圖片、視頻和文字)以原創(chuàng)、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI