在 PHP 中還有為數不少的危險函式,例如可直接執行的 eval() 、 exec() 、 passthru() 、 system() 等,建議就直接在 php.ini 中直接禁用這些函式
另外,文件包含同樣也有執行代碼的可能,所以 include() 、 include_once() 、 require() 、 require_once() 也都是要小心使用的函式
還有本地文件的相關寫入函式,如 file_put_content() 、 fwrite() 等也是需要注意的地方
php 的 preg_replace 是蠻多人喜好用的函式,但要注意的是當第一個參數是 /e 時,pre_replace() 是可以允許代碼執行的,這些都是在寫 PHP 時需要注意的地方。
iThome鐵人賽
看影片追技術