数据库函数 PHP中与数据库相关的函数包括连接数据库、查询数据、插入数据等。其中,数据库查询函数中的mysql_query()函数存在SQL注入的风险,如果用户输入未经过过滤直接拼接到SQL语句中,可能导致数据库被攻击。必须使用参数化查询或者预处理语句来防范SQL注入攻击。 系统执行函数 PHP中的系统执行函数包括exec()、system()...
函数功能:获取使用proc_open()所打开进程信息; 危害性:高 proc_open 执行一个命令并打开文件指针用于读取以及写入; 危害性:高 putenv 用户PHP运行时改变系统字符集环境,在低于5.2.6版本的PHP中,可利用该函数修改系统字符集环境后,利用sendmail指令发送特殊参数执行系统shell命令; 危害性:高 readlink 函数功能:返回符...
PHP操作用户提交内容时需要注意的危险函数 对于我们的程序开发来说,用户的输入是解决安全性问题的第一大入口。为什么这么说呢?不管是SQL注入、XSS还是文件上传漏洞,全部都和用户提交的输入参数有关。今天我们不讲这些问题,我们主要探讨下面对用户的输入,有一些危险的函数在未经验证的情况下是不能直接使用这些函数来进行...
一般是执行系统命令函数,如:Runtime.getRuntime().exec 除此之外,还有远程下载函数、文件读取函数等 ...