在 Web 服務器配置中，禁用危險的 PHP 函數是增強服務器安全性的重要措施。這些函數如果被惡意利用，可能導致文件操作、命令執行、信息泄露等安全風險。請修改php.ini文件，禁止PHP危險函數，尤其禁止chmod、chown、chgrp、exec、shell_exec這幾個危險函數。

一般情況下需要禁用的函數有：

1. 命令執行相關函數

這類函數允許 PHP 執行系統命令，惡意用戶可能通過它們控制服務器：

exec()：執行外部程序

shell_exec()：通過 shell 執行命令并返回完整輸出

system()：執行外部程序并顯示輸出

passthru()：執行外部程序并直接輸出結果

proc_open()：打開進程文件指針

popen()：打開進程文件指針

escapeshellcmd()：雖用于轉義，但不當使用仍有風險

pcntl_exec()：在當前進程空間執行指定程序

2. 文件操作相關函數

可能被用于讀寫敏感文件、遍歷目錄或刪除文件：

fopen()：打開文件（若允許寫入則風險較高）

file_get_contents()/file_put_contents()：讀寫文件內容

unlink()：刪除文件

rmdir()：刪除目錄

mkdir()：創建目錄

rename()：重命名文件 / 目錄

copy()：復制文件

chmod()：修改文件權限

chown()：修改文件所有者

symlink()：創建符號鏈接（可能導致路徑遍歷）

link()：創建硬鏈接

readlink()：讀取符號鏈接目標

realpath()：獲取絕對路徑（可能泄露服務器結構）

3. 代碼注入 / 執行相關函數

可能被用于執行惡意代碼：

eval()：將字符串作為 PHP 代碼執行（高危）

assert()：檢查斷言是否為真，可執行代碼

call_user_func()/call_user_func_array()：調用回調函數（若參數可控則有風險）

create_function()：創建匿名函數（可能注入代碼）

preg_replace()（配合/e修飾符）：執行替換的代碼（PHP 7.0 后已移除/e修飾符）

4. 信息泄露相關函數

可能泄露服務器配置、環境變量等敏感信息：

phpinfo()：輸出 PHP 配置信息（包含服務器細節）

getenv()：獲取環境變量

get_current_user()：獲取當前 PHP 運行的用戶名

getmyuid()/getmypid()：獲取用戶 ID / 進程 ID

php_uname()：獲取系統信息

5. 其他危險函數

dl()：動態加載 PHP 擴展（可能加載惡意模塊）

putenv()：設置環境變量

ini_set()/ini_get()：修改 / 獲取 PHP 配置（可能繞過限制）

session_destroy()/session_regenerate_id()：會話相關操作（若使用不當）

posix_kill()：向進程發送信號

proc_nice()/proc_terminate()：修改進程優先級 / 終止進程