Потенциально опасные функции в PHP

Мануал Потенциально опасные функции в PHP

Список функций, рекомендуемых к отключению


exec() - вызов внешней программы
proc_open() - выполняет команду и открывает файловый указатель для ввода/вывода
shell_exec() - выполняет команду в оболочке/shell и возвращает полный вывод в виде строки
system() - вызов внешней программы и вывод результата
passthru() - вызов внешней программы и вывод "сырых" результата
popen() - открывает файловый указатель процесса
show_source() - вывод исходного текста текущей веб страницы
disk_free_space() - получить размер доступного пространства в каталоге
diskfreespace() - псевдоним функции disk_free_space
disk_total_space() - возвращает общий размер диска
eval() - вычисляет строку, заданную в параметре, как код PHP
fileperms() - получить информацию о правах на файл
fopen() - открывает файл или URL
opendir() - возвращает дескриптор каталога для последующего использования с функциями closedir(), readdir() и rewinddir()
phpinfo() - выводит всю информацию о PHP, ОС
phpversion() - выводит версию php
posix_getpwuid() - возвращает информацию о пользователе по его user id
posix_getgrgid() - возвращает информацию о группе по её group id
posix_uname() - получает системное имя, возвращает хэш строк с информацией о системе
php_uname - возвращает информацию об ОС, на которой php был построен
ini_get() - получает значение опции конфигурации
ini_get_all() - получает все опции конфигурации
parse_ini_file() - разбирает файл конфигурации (Для Joomla parse_ini_file лучше не отключать)

Для отключения функций следует открыть файл php.ini и добавить параметр:
disable_functions = exec,proc_open,shell_exec,system,passthru,popen,show_source,disk_free_space,diskfreespace,disk_total_space,eval,fileperms,fopen,opendir,phpinfo,phpversion,posix_getpwuid,posix_getgrgid,posix_uname,php_uname,ini_get,ini_get_all,parse_ini_file

После сохранения конфигурации необходимо сообщить Apache об изменениях выполнив команду:
apachectl graceful
Top