在 Web 服務(wù)器配置中，禁用危險的 PHP 函數(shù)是增強服務(wù)器安全性的重要措施。這些函數(shù)如果被惡意利用，可能導(dǎo)致文件操作、命令執(zhí)行、信息泄露等安全風(fēng)險。請修改php.ini文件，禁止PHP危險函數(shù)，尤其禁止chmod、chown、chgrp、exec、shell_exec這幾個危險函數(shù)。

一般情況下需要禁用的函數(shù)有：

1. 命令執(zhí)行相關(guān)函數(shù)

這類函數(shù)允許 PHP 執(zhí)行系統(tǒng)命令，惡意用戶可能通過它們控制服務(wù)器：

exec()：執(zhí)行外部程序

shell_exec()：通過 shell 執(zhí)行命令并返回完整輸出

system()：執(zhí)行外部程序并顯示輸出

passthru()：執(zhí)行外部程序并直接輸出結(jié)果

proc_open()：打開進程文件指針

popen()：打開進程文件指針

escapeshellcmd()：雖用于轉(zhuǎn)義，但不當使用仍有風(fēng)險

pcntl_exec()：在當前進程空間執(zhí)行指定程序

2. 文件操作相關(guān)函數(shù)

可能被用于讀寫敏感文件、遍歷目錄或刪除文件：

fopen()：打開文件（若允許寫入則風(fēng)險較高）

file_get_contents()/file_put_contents()：讀寫文件內(nèi)容

unlink()：刪除文件

rmdir()：刪除目錄

mkdir()：創(chuàng)建目錄

rename()：重命名文件 / 目錄

copy()：復(fù)制文件

chmod()：修改文件權(quán)限

chown()：修改文件所有者

symlink()：創(chuàng)建符號鏈接（可能導(dǎo)致路徑遍歷）

link()：創(chuàng)建硬鏈接

readlink()：讀取符號鏈接目標

realpath()：獲取絕對路徑（可能泄露服務(wù)器結(jié)構(gòu)）

3. 代碼注入 / 執(zhí)行相關(guān)函數(shù)

可能被用于執(zhí)行惡意代碼：

eval()：將字符串作為 PHP 代碼執(zhí)行（高危）

assert()：檢查斷言是否為真，可執(zhí)行代碼

call_user_func()/call_user_func_array()：調(diào)用回調(diào)函數(shù)（若參數(shù)可控則有風(fēng)險）

create_function()：創(chuàng)建匿名函數(shù)（可能注入代碼）

preg_replace()（配合/e修飾符）：執(zhí)行替換的代碼（PHP 7.0 后已移除/e修飾符）

4. 信息泄露相關(guān)函數(shù)

可能泄露服務(wù)器配置、環(huán)境變量等敏感信息：

phpinfo()：輸出 PHP 配置信息（包含服務(wù)器細節(jié)）

getenv()：獲取環(huán)境變量

get_current_user()：獲取當前 PHP 運行的用戶名

getmyuid()/getmypid()：獲取用戶 ID / 進程 ID

php_uname()：獲取系統(tǒng)信息

5. 其他危險函數(shù)

dl()：動態(tài)加載 PHP 擴展（可能加載惡意模塊）

putenv()：設(shè)置環(huán)境變量

ini_set()/ini_get()：修改 / 獲取 PHP 配置（可能繞過限制）

session_destroy()/session_regenerate_id()：會話相關(guān)操作（若使用不當）

posix_kill()：向進程發(fā)送信號

proc_nice()/proc_terminate()：修改進程優(yōu)先級 / 終止進程