php 8.5 不存在,应按 php 8.3/8.4 配置 disable_functions:逗号分隔、无空格、小写;修改后需重启服务;禁用 system、exec、assert 等高危函数;避免误禁 curl_init 等 i/o 函数;生效须实测调用并报 warning。
php.ini 里 disable_functions 怎么写才生效
PHP 8.5 并不存在——目前(2024年中)最新稳定版是 PHP 8.3,PHP 8.4 处于 RC 阶段,官方从未发布过 PHP 8.5。所以如果你看到“PHP 8.5 disable_functions”,大概率是文档抄错、配置模板过时,或误把开发分支代号当正式版本。直接按 PHP 8.3/8.4 的规则配就行,逻辑完全一致。
关键点:disable_functions 是 php.ini 全局指令,只在 FPM/CLI/Apache 模块启动时读取一次,改完必须重启服务,仅 reload 不生效。
-
disable_functions值是逗号分隔的函数名列表,**前后不能有空格**,否则 PHP 会把空格当成函数名的一部分,导致exec变成exec(带前导空格),实际禁用失败 - 函数名区分大小写,但 PHP 内置函数全是小写,写成
EXEC或ExEc不会报错,但也不会被禁用 - 禁用后调用会直接报
Warning: Function xxx is disabled,不是undefined function
哪些函数必须禁用(PHP 8.3+ 真实高危清单)
别照搬网上“全禁”列表,很多函数在现代 PHP 中已无执行能力(比如 create_function 在 7.2+ 已移除)。重点盯住仍能触发命令执行、文件写入、代码加载的函数:
-
system、exec、shell_exec、passthru—— 直接调 shell,首当其冲 -
proc_open、popen—— 更隐蔽的进程控制,常被绕过检测,必须禁 -
pcntl_exec—— CLI 场景下可替换进程映像,危险度高,FPM 下通常不启用,但显式禁掉更稳妥 -
file_put_contents、copy、symlink—— 配合include或 Web 路径遍历可写 Shell,尤其当 open_basedir 未设或配置宽松时 -
assert—— PHP 7.2+ 默认第二个参数为字符串时会eval,是常见 RCE 入口,8.3 仍未移除该行为
示例配置(放在 php.ini 中):
disable_functions = system,exec,shell_exec,passthru,proc_open,popen,pcntl_exec,file_put_contents,copy,symlink,assert
立即学习“PHP免费学习笔记(深入)”;
disable_functions 对 Composer、Laravel、WordPress 的影响
禁用不是越狠越好。很多现代框架/工具在初始化或调试时会试探性调用某些函数,禁了会导致报错但未必崩溃,容易误判为配置成功。
-
getrusage、gettimeofday、posix_getpwuid这类函数常被 Laravel Telescope、Symfony Profiler 或 Composer 自检调用,禁了会触发警告但不影响运行,建议保留 - WordPress 插件更新、主题编辑器可能依赖
file_get_contents+file_put_contents写临时文件,如果业务需后台更新,至少得留file_get_contents(它本身不危险) -
curl_init、file、fopen属于 I/O 类函数,禁用后 Composer install、HTTP 客户端、日志写入全挂,**绝对不要禁**
简单原则:只禁明确用于执行/反射/动态代码的函数,I/O 和系统信息类函数除非有强隔离需求,否则不动。
为什么 phpinfo() 看不到 disable_functions 生效
常见现象:改了 php.ini,重启 PHP-FPM,phpinfo() 页面里 disable_functions 行显示为空或跟没改一样。原因就两个:
- 改错了文件:CLI 和 FPM 使用不同
php.ini,用php --ini和php-fpm -i | grep "Loaded Configuration File"分别确认路径 - 被覆盖了:某些 Docker 镜像、宝塔面板、cPanel 会在
php.ini末尾或conf.d/下追加disable_functions =(空值),它后加载,直接清空你前面的设置
验证是否生效最准的方法不是看 phpinfo,而是写一行脚本:
<?php @system('id'); ?>,如果返回空白且无报错,说明没禁;如果报 Warning: Function system is disabled,才算真生效。
真正麻烦的是嵌套调用和动态函数名——比如 $func = 'sys'.'tem'; $func('id');,这种 PHP 无法静态分析,disable_functions 拦不住。靠这个绕过的人,早就不靠 system 了。
