php 危险函数_PHP 危险函数有哪些？

在编译 PHP 时，如无特殊需要，一定禁止编译生成 CLI 命令行模式的 PHP 解析支持。可在编译时使用 –disable-CLI。一旦编译生成 CLI 模式的PHP，则可能会被入侵者利用该程序建立一个WEB Shell 后门进程或通过PHP 执行任意代码。

1、phpinfo()

功能描述：输出 PHP 环境信息以及相关的模块、WEB 环境等信息。

危险等级：中

2、passthru()

功能描述：允许执行一个外部程序并回显输出，类似于 exec()。

危险等级：高

3、exec()

功能描述：允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。

危险等级：高

4、system()

功能描述：允许执行一个外部程序并回显输出，类似于 passthru()。

危险等级：高

5、chroot()

功能描述：可改变当前 PHP 进程的工作根目录，仅当系统支持 CLI 模式PHP 时才能工作，且该函数不适用于 Windows 系统。

危险等级：高

6、scandir()

功能描述：列出指定路径中的文件和目录。

危险等级：中

7、chgrp()

功能描述ÿ