PHP singkatan dari Hypertext Preprocessor adalah bahasa pemrograman yang sangat populer digunakan untuk membuat halaman website dinamis. PHP tergolong kedalam bahasa pemrograman yang dengan mudah dapat kita test dan pahami serta mendukung beberapa database seperti MySQL, MSSQL dan Oracle.
Ada beberapa fungsi PHP berbahaya yang dapat digunakan untuk mengeksekusi kode berbahaya bagi website dan server. Ketika kode PHP yang digunakan dengan cara yang tidak benar atau berbahaya oleh peretas, ini berpotensi mengacaukan website dan server dapat dikendalikan oleh peretas. Kode PHP yang berbahaya tersebut benar-benar dapat membahayakan semua data yang berada di server. Apa yang akan terjadi jika fungsi PHP berbahaya ini tidak di disable? Tentu saja peretas yang memanfaatkan fungsi php ini akan dapat mengambil alih website. Apa saja fungsi PHP yang sebaiknya di disable? Berikut adalah daftar beberapa fungsi PHP yang berbahaya dan rentan untuk dimanfaatkan peretas.
- allow_url_fopen
- apache_child_terminate
- apache_setenv
- base64_decode
- curl
- curl_exec
- curl_multi_exec
- define_syslog_variables
- dl
- escapeshellarg
- escapeshellcmd
- eval
- exec
- fp
- fput
- fopen
- fwrite
- fclose
- ftp_connect
- ftp_exec
- ftp_get
- ftp_login
- ftp_nb_fput
- ftp_put
- ftp_raw
- ftp_rawlist
- gzinflate
- gzuncompress
- highlight_file
- ini_alter
- ini_get_all
- ini_restore
- inject_code
- mysql_pconnect //optional
- openlog
- parse_ini_file
- passthru
- php_uname
- phpAds_remoteInfo
- phpAds_XmlRpc
- phpAds_xmlrpcDecode
- phpAds_xmlrpcEncode
- popen
- posix_getpwuid
- posix_kill
- posix_mkfifo
- posix_setpgid
- posix_setsid
- posix_setuid
- posix_uname
- proc_close
- proc_get_status
- proc_nice
- proc_open
- proc_terminate
- shell_exec
- show_source
- str_rot13
- symlink
- syslog
- system
- xmlrpc_entity_decode
- wget
Untuk disable fungsi PHP berbahaya, dapat dilakukan dengan mengedit file konfigurasi PHP yaitu “php.ini“.
Sebagai contoh edit php.ini dengan code berikut
disable_functions = “nama_fungsi, …, …”
Tetapi perlu diingat dengan mendisable fungsi PHP diatas, tidak menjamin 100% web kamu aman dari peretasan.