如何屏蔽掉 phpinfo()

? 为了安全,不想给别人用
---------------------------------------------------------------

try to set php.ini like this:

disble_functions = phpinfo
---------------------------------------------------------------

为了安全,光屏蔽这是没有用的.
在unix/linux环境下(windows类似),可以用下面的代码查看许多秘密内容.

 1   
 2//执行运算符   
 3//PHP 支持一个执行运算符:反引号(``)。注意这不是单引号!   
 4//PHP 将尝试将反引号中的内容作为外壳命令来执行,并将其输出信息返回   
 5//(例如,可以赋给一个变量而不是简单地丢弃到标准输出)。   
 6//注: 反引号运算符在激活了 safe mode 或者关闭了 shell_exec() 时是无效的。   
 7  
 8//$output =`ls -al /etc/`;   
 9//查看/etc/目录下文件   
10  
11//$output =`locate httpd.conf`;   
12//查找http.conf文件   
13  
14//$output =`cat /etc/httpd.conf`;   
15//查看httpd.conf文件的内容   
16  
17//echo "

<pre>$output</pre>

1";   
Published At
Categories with Web编程
Tagged with
comments powered by Disqus