Für eine whitelist möchte ich alle genutzen PHP-Funktionen wissen, die in einem script verwendet werden. Wie macht man das?
Das Ziel ist, diese in die php.ini einzutragen.
Alle genutzten PHP-Funktionen auslesen - Wie?
-
- Project Manager
- Posts: 11182
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: Alle genutzten PHP-Funktionen auslesen - Wie?
Die Whitelist wird zu gross, packe lieber die unerwünschten Funktionen in eine Blacklist, zum Beispiel in der php.ini:
Code: Select all
disable_functions = system, shell_exec, popen, pclose, proc_open, proc_close, proc_get_status, proc_nice, proc_terminate, exec, passthru, show_source, readfile, escapeshellcmd, escapeshellarg
-
- Posts: 330
- Joined: 2006-09-22 13:37
Re: Alle genutzten PHP-Funktionen auslesen - Wie?
Danke, das mache ich schon. Es gibt aber Fälle für ich die Whiteliste gerne nutzen würde. Zu dem ist es ja auch vom Sicherheitsaspekt interessant, zu sehen was für Funktionen genutzt werden ...Joe User wrote:Die Whitelist wird zu gross, packe lieber die unerwünschten Funktionen in eine Blacklist ...
Wie finde ich alle genutzen php-Funktionwn sauber heraus?
-
- Posts: 139
- Joined: 2005-09-22 23:09
Re: Alle genutzten PHP-Funktionen auslesen - Wie?
http://xdebug.org/docs/execution_trace
Das zeigt aber nur alle Funktionen an die auch wirklich aufgerufen werden, bei jeder Verzweigung im Skript können Funktionsaufrufe übersprungen werden :(
Das zeigt aber nur alle Funktionen an die auch wirklich aufgerufen werden, bei jeder Verzweigung im Skript können Funktionsaufrufe übersprungen werden :(
-
- Posts: 391
- Joined: 2006-09-05 21:12
- Location: Berlin
Re: Alle genutzten PHP-Funktionen auslesen - Wie?
Wohlgemerkt ist die Blacklist von Joe User u.U. nicht die richtige Wahl, da Joomla! für seine tolle (lahme?) GD-Bibliothek system() benötigt (letzter Wissensstand).
Gruß
dtdesign
Gruß
dtdesign
-
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Alle genutzten PHP-Funktionen auslesen - Wie?
Das ist dann wohl eher ImageMagick oder GraphicsMagick. Die GD-Library ist eigentlich so gut wie immer eine Erweiterung für PHP, die ohne system() auskommt.dtdesign wrote:Wohlgemerkt ist die Blacklist von Joe User u.U. nicht die richtige Wahl, da Joomla! für seine tolle (lahme?) GD-Bibliothek system() benötigt (letzter Wissensstand).