PHP禁用危险函数的防护技巧

对于一个文章开发者来说，牢固扎实的基础是十分重要的，golang学习网就来带大家一点点的掌握基础知识点。今天本篇文章带大家了解《PHP禁用危险函数保护方法》，主要介绍了，希望对大家的知识积累有所帮助，快点收藏起来吧，否则需要时就找不到了！

disable_functions 无法阻止通过 create_function + preg_replace 等方式绕过，因其仅禁用内置函数，对动态代码执行、扩展函数及文件写入导致的绕过无效。

PHP 禁用危险函数不能只靠 disable_functions 配置项——它对很多绕过方式完全无效，尤其是当攻击者能写入文件或调用扩展函数时。

disable_functions 为什么经常失效

这个配置项只禁用 PHP 内置函数（如 system、exec、shell_exec），但不阻止：

• 通过 create_function + preg_replace（PHP
• 使用 pcntl_exec、proc_open 等未被列入默认黑名单的函数
• 加载外部扩展（如 imap_open 可触发 popen 行为）
• 利用反序列化触发 __wakeup/__destruct 中未被禁用的函数链

真正有效的禁用方法：php.ini + open_basedir + opcode 层限制

单点配置不如组合策略。关键不是“禁什么”，而是“让危险代码根本跑不起来”：

• disable_functions 必须显式列出：system,exec,shell_exec,passthru,proc_open,popen,pcntl_exec,pcntl_fork,pcntl_waitpid,pcntl_wifexited（注意逗号后不能有空格）
• open_basedir 设为严格路径（如 /var/www/html:/tmp），可阻断大部分文件写入+执行类 payload 的落地环节
• 启用 opcache.enable=1 并设置 opcache.restrict_api="/dev/null"（PHP 7.4+），防止通过 opcache_get_status 泄露信息或触发 JIT 相关利用
• 若用 FPM，配合 security.limit_extensions = .php，避免上传 .php5、.phtml 绕过解析限制

检查是否真被禁用：别信 phpinfo()，要实测

攻击者常通过 get_defined_functions() 或 function_exists() 探测可用函数，所以验证必须走执行流：

echo 'exec: ' . (function_exists('exec') ? 'enabled' : 'disabled') . "\n";
echo 'shell_exec: ' . (function_exists('shell_exec') ? 'enabled' : 'disabled') . "\n";
@exec('id', $out) ? print_r($out) : print("exec blocked\n");

更关键的是测试组合行为：proc_open('id', [], $pipes) 和 file_put_contents('/tmp/test.php', '') 是否仍能完成写入+执行闭环。

Web 服务器层兜底：Nginx/Apache 的执行隔离

PHP 配置再严，若 Web 服务器允许直接执行上传文件，一切归零：

• Nginx 中确保 location ~ \.php$ 块里没有 fastcgi_param SCRIPT_FILENAME $request_filename 这类不安全写法，必须用 $document_root$fastcgi_script_name
• 禁止用户目录下执行 PHP：location ~ ^/uploads/.*\.php$ { return 403; }
• Apache 启用 php_admin_value engine Off 在上传目录的 .htaccess 中（需允许 override）

解释器本身不会被“保护”，它只是按规则运行代码；所谓防护，本质是收窄规则、切断路径、增加绕过成本。最常被忽略的一点：disable_functions 对 assert()、call_user_func()、unserialize() 完全无感——而这些才是真实攻击链的起点。

终于介绍完啦！小伙伴们，这篇关于《PHP禁用危险函数的防护技巧》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识，快来关注吧！