PHP tiene muchas funciones que se pueden usar para hackear el servidor si no se usa correctamente. Se estableció una lista de funciones en php.ini usando la directiva disable_functions. Esta directiva permite deshabilitar ciertas funciones por razones de seguridad
Las funciones que se han deshabilitado son: show_source, symlink, shell_exec, exec, proc_close, proc_open, popen, system,dl, passthru, escapeshellarg, escapeshellcmd, allow_url_fopen
- dl — Carga una extensión de PHP durante la ejecución
- escapeshellarg — Escapar una cadena a ser usada como argumento del intérprete de comandos.
- escapeshellcmd — Escapar meta-caracteres del intérprete de comandos.
- exec — Ejecutar un programa externo.
- passthru — Ejecuta un programa externo y muestra la salida en bruto
- proc_close — Cierra un proceso abierto mediante proc_open y devuelve el código de salida de tal proceso
- proc_open — Ejecuta un comando y abre un puntero de fichero para entrada/salida
- popen — Abre un proceso de un puntero a un fichero
- shell_exec — Ejecutar un comando mediante el intérprete de comandos y devolver la salida completa como una cadena
- show_source — Alias de highlight_file
- symlink — Crea un enlace simbólico
- system — Ejecutar un programa externo y mostrar su salida
