Saat mengkompilasi PHP, jika tidak ada kebutuhan khusus, dilarang mengkompilasi dan menghasilkan dukungan parsing PHP dalam mode baris perintah CLI. Dapat dikompilasi menggunakan --disable-CLI. Setelah PHP dalam mode CLI dikompilasi dan dihasilkan, program tersebut dapat digunakan oleh penyusup untuk membuat proses pintu belakang WEB Shell atau mengeksekusi kode arbitrer melalui PHP.
Deskripsi fungsiphpinfo()
: Menampilkan informasi lingkungan PHP dan modul terkait, lingkungan WEB, dan informasi lainnya.
Tingkat bahaya:Passthru
sedang
()Deskripsi Fungsi: Memungkinkan untuk menjalankan program eksternal dan menggemakan hasilnya, mirip dengan exec().
Tingkat bahaya: Deskripsi fungsiexec()
tinggi
: Memungkinkan eksekusi program eksternal (seperti perintah UNIX Shell atau CMD, dll.).
Tingkat bahaya: Tinggi
system()
Deskripsi Fungsi: Memungkinkan untuk menjalankan program eksternal dan menggemakan hasilnya, mirip dengan passthru().
Tingkat bahaya:
Deskripsi fungsichroot()
tinggi: Dapat mengubah direktori root kerja dari proses PHP saat ini. Ini hanya dapat bekerja ketika sistem mendukung mode CLI PHP, dan fungsi ini tidak berlaku untuk sistem Windows.
Tingkat bahaya:
Deskripsi fungsiscandir()
tinggi: Daftar file dan direktori di jalur yang ditentukan.
Tingkat bahaya:
Deskripsi fungsichgrp()
sedang: Mengubah grup pengguna yang memiliki file atau direktori.
Tingkat bahaya:
Deskripsi fungsichown()
tinggi: Mengubah pemilik file atau direktori.
Tingkat bahaya: Deskripsi fungsishell_exec()
tinggi
: Jalankan perintah melalui Shell dan kembalikan hasil eksekusi sebagai string.
Tingkat bahaya: Tinggi
proc_open()
Deskripsi Fungsi: Jalankan perintah dan buka penunjuk file untuk membaca dan menulis.
Tingkat bahaya: Tinggi
proc_get_status()
Deskripsi Fungsi: Mendapatkan informasi tentang proses yang dibuka menggunakan proc_open().
Tingkat bahaya:
Deskripsi fungsierror_log()
tinggi: Mengirim informasi kesalahan ke lokasi (file) yang ditentukan.
Catatan keamanan: Di beberapa versi PHP, error_log() dapat digunakan untuk melewati mode aman PHP.
Jalankan perintah sewenang-wenang.
Tingkat bahaya:
Deskripsi fungsiini_alter()
rendah: Ini adalah fungsi alias dari fungsi ini_set() dan memiliki fungsi yang sama dengan ini_set(). Lihat ini_set() untuk detailnya.
Tingkat bahaya: Tinggi
ini_set()
Deskripsi Fungsi: Dapat digunakan untuk mengubah dan mengatur parameter konfigurasi lingkungan PHP.
Tingkat bahaya: Tinggi
ini_restore()
Deskripsi Fungsi: Dapat digunakan untuk mengembalikan parameter konfigurasi lingkungan PHP ke nilai awalnya.
Tingkat bahaya: Deskripsi fungsidl()
tinggi
: Memuat modul eksternal PHP saat PHP sedang berjalan (bukan saat memulai).
Tingkat bahaya: Tinggi
pfsockopen()
Deskripsi Fungsi: Membuat koneksi soket persisten di Internet atau domain UNIX.
Tingkat bahaya: Deskripsi fungsisyslog()
tinggi
: Fungsi syslog() lapisan sistem pada sistem UNIX dapat dipanggil.
Tingkat bahaya: Deskripsi fungsireadlink()
sedang
: Mengembalikan konten file target yang ditunjuk oleh tautan simbolik.
Tingkat bahaya: Deskripsi fungsisymlink()
sedang
: Membuat tautan simbolik di sistem UNIX.
Tingkat bahaya: Deskripsi fungsipopen()
tinggi
: Sebuah perintah dapat diteruskan melalui parameter popen() dan dieksekusi pada file yang dibuka oleh popen().
Tingkat bahaya: Tinggi
stream_socket_server()
Deskripsi Fungsi: Membuat koneksi Internet atau server UNIX.
Tingkat bahaya: Sedang
putenv()
Deskripsi Fungsi: Digunakan untuk mengubah lingkungan rangkaian karakter sistem saat PHP sedang berjalan. Dalam versi PHP lebih awal dari 5.2.6, Anda dapat menggunakan fungsi ini untuk mengubah lingkungan kumpulan karakter sistem, dan kemudian menggunakan perintah sendmail untuk mengirim parameter khusus untuk menjalankan perintah sistem SHELL.
Tingkat bahaya: tinggi