zoukankan      html  css  js  c++  java

  • 代码审计之配置

    register_globals:php<5.4.0 PHP_INI_ALL:可在任何地方设置
    <?php
    if($user == 'admin'){
    echo 'true';
    }
    ?>

    allow_url_include:在5.2.0及以后默认off PHP_INI_ALL:可在任何地方设置(allow_url_fopen)
    <?php
    include $_GET['a'];
    ?>
    a=http://127.0.0.1/php.txt

    magic_quotes_gpc:get/post/cookie-->',",\,NULL
    php5不会处理$_SERVER,client-ip,referer
    php5.4后magic_quotes_gpc取消
    4.2.3之前->PHP_INI_ALL:可在任何地方设置
    大于4.2.3:PHP_INI_PERDIR:php.ini,.htaccess,httpd.conf

    magic_quotes_runtime:-->处理',",\,NULL 加
    处理对象:数据库,文件文件中获取的数据过滤
    php5.4后magic_quotes_gpc取消
    配置范围:PHP_INI_ALL:可在任何地方设置

    magic_quotes_sybase:为on覆盖gpc
    get、post、cookie---->转义空字符和'->"
    PHP_INI_ALL,在PHP5.4.0后移除

    safe_mode:(安全模式)
    safe_mode_include_dir,safe_mode_exec_dir
    open_basedir:(可访问目录)
    注意:设置/www/a,/www/a和/www/ab都可访问

    disable_functions:( 禁用函数)
    dl()可加载自定义的php扩展突破disable_functions的限制
    php.ini only

    display_errors和error_reporting
    display_errors会先错误

      • display_errors=on时,可配置error_reporting
  • 相关阅读:
    bzoj 2878: [Noi2012]迷失游乐园
    端口安全检查shell脚本
    Linux安全基线检查脚本
    kali修改时区
    Elasticsearch+Kibana+Logstash安装
    go基础语法
    windows server 2012泛域名解析配置
    域名解析知识总结
    DDOS防护原理
    kali 2.0下搭建DVWA环境
  • 原文地址:https://www.cnblogs.com/lly-lly/p/5390873.html
Copyright © 2011-2022 走看看