Alle genutzten PHP-Funktionen auslesen - Wie?

[tomotom]

Für eine whitelist möchte ich alle genutzen PHP-Funktionen wissen, die in einem script verwendet werden. Wie macht man das?

Das Ziel ist, diese in die php.ini einzutragen.

[Joe User]

Die Whitelist wird zu gross, packe lieber die unerwünschten Funktionen in eine Blacklist, zum Beispiel in der php.ini:

Code: Select all

disable_functions = system, shell_exec, popen, pclose, proc_open, proc_close, proc_get_status, proc_nice, proc_terminate, exec, passthru, show_source, readfile, escapeshellcmd, escapeshellarg

[tomotom]

Die Whitelist wird zu gross, packe lieber die unerwünschten Funktionen in eine Blacklist ...

Danke, das mache ich schon. Es gibt aber Fälle für ich die Whiteliste gerne nutzen würde. Zu dem ist es ja auch vom Sicherheitsaspekt interessant, zu sehen was für Funktionen genutzt werden ...

Wie finde ich alle genutzen php-Funktionwn sauber heraus?

[hornox]

http://xdebug.org/docs/execution_trace
Das zeigt aber nur alle Funktionen an die auch wirklich aufgerufen werden, bei jeder Verzweigung im Skript können Funktionsaufrufe übersprungen werden :(

[dtdesign]

Wohlgemerkt ist die Blacklist von Joe User u.U. nicht die richtige Wahl, da Joomla! für seine tolle (lahme?) GD-Bibliothek system() benötigt (letzter Wissensstand).

Gruß
dtdesign

[Roger Wilco]

Wohlgemerkt ist die Blacklist von Joe User u.U. nicht die richtige Wahl, da Joomla! für seine tolle (lahme?) GD-Bibliothek system() benötigt (letzter Wissensstand).

Das ist dann wohl eher ImageMagick oder GraphicsMagick. Die GD-Library ist eigentlich so gut wie immer eine Erweiterung für PHP, die ohne system() auskommt.