disable_functions如果您禁用某些功能来防止自己的应用程序代码受到攻击,那么这充其量只是一个用胶带解决方案来修补编写不佳的代码库。
另一方面,如果您使用
disable_functions在我看来,定义这样的黑名单只会提供一种错误的安全感。如果 RCE 攻击成功,那么您的执行上下文已经被破坏,将某些功能列入黑名单感觉像是一场失败的战斗。
我所缺少的
disable_functions以下是可能的用例:
配置共享主机以防止执行任意操作系统命令、操纵文件路径等。示例:
exec, shell_exec, passthru, popen, linkmail为了简化组织中的代码控制,当更容易禁止使用功能而不是监视它们(或为此编写自动规则),然后花时间在代码中重写它们时。
满足某些安全合规性(PCI DSS、SOX、HIPAA 等)。支持您安全的论据越多,就越容易获得所需的状态。
也许有人喜欢禁止自己使用某些东西。各种形式的自由,你知道;)