「PHPバグ月間」への対処法,危険な関数を無効にしよう - 最新Windowsセキュリティ事情:ITpro
phpinfo()だけ禁止しても、抜け道は他にもある、と。むしろphpinfo()よりexec()の方が強力か!
phpinfo()が禁止されやすいのは、危険なだけでなく本番環境では禁止しても害が無いからか。
危険な関数には,exec関数とshell_exec関数のほかにも,suexec,passthru,proc_open,proc_close,proc_get_status,proc_nice,proc_terminate,system,popen,pclose,dl,ini_set,virtual,set_time_limit,apache_child_terminate,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,escapeshellcmd,escapeshellargがある。ここに挙げた以外の潜在的な危険のある関数については,「PHP Builder」のWebサイトにある「Functions restricted/disabled by safe mode」という記事を参照してほしい。
phpinfo()だけ禁止しても、抜け道は他にもある、と。むしろphpinfo()よりexec()の方が強力か!
phpinfo()が禁止されやすいのは、危険なだけでなく本番環境では禁止しても害が無いからか。
0 件のコメント:
コメントを投稿