disable_functions 无法阻止通过 create_function + preg_replace 等方式绕过,因其仅禁用内置函数,对动态代码执行、扩展函数及文件写入导致的绕过无效。
PHP 禁用危险函数不能只靠 disable_functions 配置项——它对很多绕过方式完全无效,尤其是当攻击者能写入文件或调用扩展函数时。
disable_functions 为什么经常失效
这个配置项只禁用 PHP 内置函数(如 system、exec、shell_exec),但不阻止:
- 通过
create_function+preg_replace(PHP - 使用
pcntl_exec、proc_open等未被列入默认黑名单的函数 - 加载外部扩展(如
imap_open可触发 popen 行为) - 利用反序列化触发
__wakeup/__destruct中未被禁用的函数链
真正有效的禁用方法:php.ini + open_basedir + opcode 层限制
单点配置不如组合策略。关键不是“禁什么”,而是“让危险代码根本跑不起来”:
-
disable_functions必须显式列出:system,exec,shell_exec,passthru,proc_open,popen,pcntl_exec,pcntl_fork,pcntl_waitpid,pcntl_wifexited(注意逗号后不能有空格) -
open_basedir设为严格路径(如/var/www/html:/tmp),可阻断大部分文件写入+执行类 payload 的落地环节 - 启用
opcache.enable=1并设置opcache.restrict_api="/dev/null"(PHP 7.4+),防止通过opcache_get_status泄露信息或触发 JIT 相关利用 - 若用 FPM,配合
security.limit_extensions = .php,避免上传.php5、.phtml绕过解析限制
检查是否真被禁用:别信 phpinfo(),要实测
攻击者常通过 get_defined_functions() 或 function_exists() 探测可用函数,所以验证必须走执行流:
立即学习“PHP免费学习笔记(深入)”;
echo 'exec: ' . (function_exists('exec') ? 'enabled' : 'disabled') . "\n";
echo 'shell_exec: ' . (function_exists('shell_exec') ? 'enabled' : 'disabled') . "\n";
@exec('id', $out) ? print_r($out) : print("exec blocked\n");
更关键的是测试组合行为:proc_open('id', [], $pipes) 和 file_put_contents('/tmp/test.php', '') 是否仍能完成写入+执行闭环。
Web 服务器层兜底:Nginx/Apache 的执行隔离
PHP 配置再严,若 Web 服务器允许直接执行上传文件,一切归零:
- Nginx 中确保
location ~ \.php$块里没有fastcgi_param SCRIPT_FILENAME $request_filename这类不安全写法,必须用$document_root$fastcgi_script_name - 禁止用户目录下执行 PHP:
location ~ ^/uploads/.*\.php$ { return 403; } - Apache 启用
php_admin_value engine Off在上传目录的.htaccess中(需允许 override)
解释器本身不会被“保护”,它只是按规则运行代码;所谓防护,本质是收窄规则、切断路径、增加绕过成本。最常被忽略的一点:disable_functions 对 assert()、call_user_func()、unserialize() 完全无感——而这些才是真实攻击链的起点。
