PHP安全

文件包含漏洞

include、require、include_once、require_once,使用这4个函数包含文件,该文件将作为 PHP 代码执行,PHP 内核不会在意该包含的文件是什么类型

代码执行漏洞

危险函数execshell_execsystem可以直接执行系统命令。eval函数可以执行 PHP 代码

伪随机数和真随机数

伪随机数

通过一些数学算法生成的随机数,并非真正的随机数

真随机数

通过一些物理系统生成的随机数

随机数

  • Linux

使用 /dev/random 或者 /dev/urandom 来生成随机数,只需读取即可

  • PHP

若是支持 openSSL 扩展,可以直接使用函数来生成随机数

  1. openssl_random_pseudo_bytes ( int $length [, bool &$crypto_strong ] ) : string