代码审计之常见的ini配置

最新推荐文章于 2025-03-22 17:10:22 发布
原创 最新推荐文章于 2025-03-22 17:10:22 发布 · 196 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了PHP配置文件的各项设置,包括全局变量、短标签、安全模式、上传文件限制、错误信息控制、魔术引号等关键配置项,并解释了它们的作用及安全性考虑。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.配置文件

一般配置文件

php【版本号】.ini
user.ini

二.变量相关

全局变量

register_globals=off/on

在新的版本已经移除,存在安全问题。若存在, 一般是关闭的。
在这里插入图片描述

短标签

short_open_tag = off/on

在这里插入图片描述

三.安全模式

安全模式

safe_mode = off/on

在这里插入图片描述

禁用类/函数

disable_classes =,
disable_function=,
disable_function =
opendir,
readdir,
scandir,
fopen,
unlink

在这里插入图片描述

四.上传文件及目录权限

设置上传及最大上传文件大小

file_uploads = off/on
upload_max_filesize = 8M

文件上传临时目录

upload_temp_dir =

在这里插入图片描述

用户访问目录限制

open_basedir = .:/tmp/

在这里插入图片描述

五.错误信息

错误信息控制

display_error = off/on

在这里插入图片描述

设置错误报告级别

error_reporting = E_ALL

在这里插入图片描述

错误日志

error_log =

在这里插入图片描述

log_errors = off/on

在这里插入图片描述

log_errors_max_length = 1024

在这里插入图片描述

六.魔术引号及远程文件

魔术引号

magic_quotes_gpc = off/on
magic_quotes_runtime = off/on

在这里插入图片描述

是否允许打开远程文件

allow_url_fopen = off/on

在这里插入图片描述

是否允许包含远程文件

allow_url_include = off/on

在这里插入图片描述

感谢大佬Virink

中职网络安全php代码审计——php常见ini配置
panda.
03-08 311
使用phpstudy查看配置文件即可 phpstudy文件网盘链接: 链接:https://pan.baidu.com/s/1WXuxMueUkgeXE2L1CSzY2Q 提取码:dawf 禁用函数/类 禁用某些函数: disable_functions = 禁用某些类: disable_classes = 需要设置多个类/函数,需要用英文逗号进行分隔 disable_classes只能禁用内置的类 只能禁用内置函数/类的原因: 1、自定义的函数/类是由用户自己控.
代码审计常见的PHP的配置
qq_43814486的博客
07-20 251
1、配置文件 PHP配置文件一般是指:php.ini文件,php.ini是全局配置文件,里边可以设置很多东西,例如: 1、资源限制: max_execution_time integer 这设置了脚本被解析器中止之前允许的最大执行时间,单位秒。 防止一些不好的脚本占尽服务器资源。(默认设置为30,但从命令行运行PHP时默认为0。) 2、数据处理: post_max_size intager 允...
代码审计常见INI配置
0xcc'Blog
06-20 271
#0x00:php的配置文件 1.php.ini 在PHP启动时读取。对于服务器模块版本的PHP,仅在web服务器启动时读取一次,对于CGI和CLI版本,每次调用都会读取。 2…user.ini文件 自PHP 5.3.0起,PHP支持基于每个目录的.htaccess风格的INI文件。此类文件仅被CGI/FastCGI SAPI处理。此功能使得PECL的htscanner跨站作废。如果使用Apach...
PHP代码审计-配置文件
weixin_34056162的博客
03-26 145
配置文件 php.ini : 对于服务器模块版本的PHP,仅在web服务器启动时读取一次,对于CGI和CLI版本,每次调用都会读取。 CGI :“公共网关接口”(Common Gateway Interface),HTTP服务器与你的或其它机器上的程序进行“交谈”的一种工具, 其程序须运行在网络服务器上。以CGI方式运行时,webserver将用户请求 以消息的方...
PHP中phpinfo()代码审计
qq_60115503的博客
04-26 2935
PHP为我们提供了一个内置函数phpinfo(),它可以提供有关系统中安装的PHP版本和PHP配置的详细信息。那么如何使用phpinfo()函数?下面本篇文章就来带大家了解一下phpinfo()函数的使用,希望对大家有所帮助
php代码审计_代码审计之PHP代码解析标签
weixin_39559071的博客
12-06 125
PHP有几种解析标签的写法来标识PHP代码,比如最标准的<?php … ?> 当PHP解析器找到这个标签的时候,就会执行这个标签里面的代码,实际上除了这种写法外还有一些标签分别如下:1)脚本标签:<script language="php">……</script> 这种方式写法有点像JavaScript,不过也是可以正常解析PHP代码。我们来测试脚本...
代码审计-常见INI配置
qq_44720671的博客
07-20 215
代码审计-常见INI配置 一、配置文件 二、语法 三、常见配置
PHP代码审计-常见ini配置
灰蜗牛
09-19 518
配置文件php.ini在 PHP 启动时被读取。对于服务器模块版本的 PHP,仅在 web 服务器启动时读取一次。对于 CGI 和 CLI 版本,每次调用都会读取。 * Apache web 服务器在启动时会把目录转到根目录,这将导致 PHP 尝试在根目录下读取 php.ini,如果存在的话。 * 在 php.ini 中可以使用环境变量。由扩展库处理的php.ini指令,其文档分别在各扩展库的页
PHP代码审计之入门实战教程
12-22
教程指导学员学习并使用一些常用的代码审计工具,如RIPS、PHPCheckstyle等,这些工具能够自动化地检测代码中的漏洞和不规范之处。通过实践操作,学员可以更加熟练地运用这些工具,提高审计工作的效率和质量。 最后...
PHP代码审计之入门实战视频教程.rar
09-07
在本课程中,第一二章系统的讲解代码审计入门的一些基础知识:代码审计环境的准备、代码审计的一般步骤、INI文件的安全配置、一些常见的危险函数、常用Web的漏洞类型、掌握相关审计工具的使用。第三章着重实战演示...
Seay——代码审计工具
12-26
Seay是一款专为IT专业人士设计的代码审计工具,它的出现极大地提升了代码审查的效率和准确性。在软件开发过程中,代码审计是一项至关重要的任务,它能够帮助开发者发现潜在的安全隐患、性能瓶颈以及不符合编码规范的...
php代码审计-1
qq_38122566的博客
03-22 759
常用工具介绍如下:PHPStorm编辑器动态调试小皮面板FortifyripsSeay源代码扫描审计系统源码比较工具。
聆思duomotai-ap sdk适配dooiRobot
08-12
在聆思duomotai_ap sdk中加入对dooiRobot的支持。
### 中文大模型基准测评2025年上半年报告总结
08-12
内容概要:《中文大模型基准测评2025年上半年报告》由SuperCLUE团队发布,详细评估了2025年上半年中文大模型的发展状况。报告涵盖了大模型的关键进展、国内外大模型全景图及差距、专项测评基准介绍等。通过SuperCLUE基准,对45个国内外代表性大模型进行了六大任务(数学推理、科学推理、代码生成、智能体Agent、精确指令遵循、幻觉控制)的综合测评。结果显示,海外模型如o3、o4-mini(high)在推理任务上表现突出,而国内模型如Doubao-Seed-1.6-thinking-250715在智能体Agent和幻觉控制任务上表现出色。此外,报告还分析了模型性价比、效能区间分布,并对代表性模型如Doubao-Seed-1.6-thinking-250715、DeepSeek-R1-0528、GLM-4.5等进行了详细介绍。整体来看,国内大模型在特定任务上已接近国际顶尖水平,但在综合推理能力上仍有提升空间。 适用人群:对大模型技术感兴趣的科研人员、工程师、产品经理及投资者。 使用场景及目标:①了解2025年上半年中文大模型的发展现状与趋势;②评估国内外大模型在不同任务上的表现差异;③为技术选型和性能优化提供参考依据。 其他说明:报告提供了详细的测评方法、评分标准及结果分析,确保评估的科学性和公正性。此外,SuperCLUE团队还发布了多个专项测评基准,涵盖多模态、文本、推理等多个领域,为业界提供全面的测评服务。
IB Specification Vol 2-Release-2.0-Final-2025-07-31 - 1
08-12
IB Specification Vol 2-Release-2.0-Final-2025-07-31 - 1
基于SpringBoot的校园设备维护报修系统.docx
最新发布
08-12
基于SpringBoot的校园设备维护报修系统
Qt步进电机上位机程序源代码详解:跨平台控制,支持串口、TCPUDP网络,继承与多态设计
08-12
内容概要:本文介绍了基于Qt库的步进电机上位机控制程序,该程序使用C/C++语言编写,支持串口、TCP和UDP三种通信端口,具备跨平台特性。程序不仅实现了步进电机的基本控制功能(如地址设置、速度设置、正反向控制),还提供了调试显示窗口、超时提醒、配置自动保存等功能。此外,程序通过类的继承与派生方式实现了多态功能,增强了移植性和灵活性。文中详细描述了开发环境、使用方法及各子功能模块的具体实现。 适合人群:从事嵌入式系统开发、自动化控制领域的工程师和技术人员,尤其是对Qt库有一定了解的开发者。 使用场景及目标:适用于需要对步进电机进行远程控制的应用场景,如工业自动化、机器人控制等领域。主要目标是提高步进电机控制的精度和效率,同时简化开发和调试过程。 其他说明:程序附带详细的注释、设计文档和使用说明,便于用户理解和二次开发。建议将源码放置于纯英文路径下进行编译和运行。
计算四自由度的齿轮动力学震动模型.zip
08-12
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
基于西门子PLC 1214C的压机控制程序及多功能块实现——提升工业自动化编程能力 详细版
08-12
基于西门子PLC 1214C的压机控制程序及其多个功能块的实现方法。该程序涵盖了压装逻辑编辑、汇川PN伺服块、脉冲控制块、以太网TCP功能块、气缸块、托盘坐标计算块、基恩士扫码器SR1000块及模拟量功能块等功能。所有功能块均采用模块化编程思想,使用SCL语言编写,具有高度的可移植性和灵活性。文中还提供了一个气缸控制功能块的代码片段作为示例,帮助读者更好地理解和应用。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是那些希望提升编程能力和掌握模块化编程技巧的人群。 使用场景及目标:适用于需要编写高效、灵活的压机控制系统的企业和个人开发者。通过学习本文,读者能够掌握如何利用西门子PLC 1214C实现复杂而高效的压机控制逻辑,从而提高生产效率和产品质量。 其他说明:本文不仅展示了具体的编程技术和方法,还强调了模块化编程的优势,如提高代码的可读性、可维护性和可移植性。此外,通过触摸屏编辑压装逻辑的能力也为实际操作带来了更大的便捷性和灵活性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值