PHP 해킹 안당하려면 php.ini disable_functions 수정

php 파일을 jpg 같은 이미지 파일명으로 아래와 같이 업로드 하면, aa 라는 request 로 보낸 값을 eval 이라는 함수에서 리턴 받을 수 있음

 

<?php @eval($_POST['aa']); ?>
<%eval request("a")%>

 

 

그래서 php.ini 에서 disable_functions 를 찾아 아래와 같이 수정.

 

 

PHP 사용 시 특정함수 사용제한 하는 방법

PHP의 php.ini 파일을 수정하여 특정함수 사용을 제한 할 수 있습니다.

#vi /usr/local/php/lib/php.ini
disable_functions = 특정함수
ex>
disable_functions = shell_exec,exec

php.ini 를 수정하여 아래내용 삽입 후, 웹서버를 재시작하여 적용합니다.

특정폴더에서만 함수를 사용못하게 하려면

해당폴더에 .htaccess 를 생성 후 아래내용을 삽입합니다.

php_flag disable_functions = 특정함수
ex>
#touch .htaccess
#vi .htaccess
php_flag disable_functions = 특정함수

 

 

 

출처 -

https://phpschool.com/gnuboard4/bbs/board.php?bo_table=qna_function&wr_id=466225&sca=&sfl=wr_subject%7C%7Cwr_content&stx=%C3%B7%BA%CE%C6%C4%C0%CF&sop=and&page=4

WWW.PHPSCHOOL.COM

 

https://faq.hostway.co.kr/Linux_WEB/1280

Linux WEB - PHP 사용 시 특정함수 사용제한 하는 방법