Alle genutzten PHP-Funktionen auslesen - Wie?

Bash, Shell, PHP, Python, Perl, CGI
tomotom
Posts: 330
Joined: 2006-09-22 13:37

Alle genutzten PHP-Funktionen auslesen - Wie?

Post by tomotom » 2007-07-03 20:46

Für eine whitelist möchte ich alle genutzen PHP-Funktionen wissen, die in einem script verwendet werden. Wie macht man das?

Das Ziel ist, diese in die php.ini einzutragen.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Alle genutzten PHP-Funktionen auslesen - Wie?

Post by Joe User » 2007-07-03 22:12

Die Whitelist wird zu gross, packe lieber die unerwünschten Funktionen in eine Blacklist, zum Beispiel in der php.ini:

Code: Select all

disable_functions = system, shell_exec, popen, pclose, proc_open, proc_close, proc_get_status, proc_nice, proc_terminate, exec, passthru, show_source, readfile, escapeshellcmd, escapeshellarg

tomotom
Posts: 330
Joined: 2006-09-22 13:37

Re: Alle genutzten PHP-Funktionen auslesen - Wie?

Post by tomotom » 2007-07-04 11:47

Joe User wrote:Die Whitelist wird zu gross, packe lieber die unerwünschten Funktionen in eine Blacklist ...
Danke, das mache ich schon. Es gibt aber Fälle für ich die Whiteliste gerne nutzen würde. Zu dem ist es ja auch vom Sicherheitsaspekt interessant, zu sehen was für Funktionen genutzt werden ...

Wie finde ich alle genutzen php-Funktionwn sauber heraus?

hornox
Posts: 139
Joined: 2005-09-22 23:09

Re: Alle genutzten PHP-Funktionen auslesen - Wie?

Post by hornox » 2007-07-04 12:41

http://xdebug.org/docs/execution_trace
Das zeigt aber nur alle Funktionen an die auch wirklich aufgerufen werden, bei jeder Verzweigung im Skript können Funktionsaufrufe übersprungen werden :(

dtdesign
Posts: 391
Joined: 2006-09-05 21:12
Location: Berlin

Re: Alle genutzten PHP-Funktionen auslesen - Wie?

Post by dtdesign » 2007-07-04 14:54

Wohlgemerkt ist die Blacklist von Joe User u.U. nicht die richtige Wahl, da Joomla! für seine tolle (lahme?) GD-Bibliothek system() benötigt (letzter Wissensstand).

Gruß
dtdesign

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Alle genutzten PHP-Funktionen auslesen - Wie?

Post by Roger Wilco » 2007-07-04 15:12

dtdesign wrote:Wohlgemerkt ist die Blacklist von Joe User u.U. nicht die richtige Wahl, da Joomla! für seine tolle (lahme?) GD-Bibliothek system() benötigt (letzter Wissensstand).
Das ist dann wohl eher ImageMagick oder GraphicsMagick. Die GD-Library ist eigentlich so gut wie immer eine Erweiterung für PHP, die ohne system() auskommt.