关于PHP SoapServer::addFunction()方法的this answer,有这句话:
使用SOAP_FUNCTIONS_ALL可能是一个坏主意,因为它实际上导出了所有PHP函数
在Intertubes的其他地方重复此警告,例如here和here。
我已经通过实验验证了这一点:在一个适度大小的应用程序中,SoapServer::getFunctions()在调用zend_version之后返回一个包含近{3,000}个函数的数组,从SoapServer::addFunction()开始}。
但是,如果SOAP服务器在WSDL模式下工作(即,使用非空参数为其构造函数指定.wsdl文件创建),我就无法确定这是否存在问题。 。
虽然我还没有找到一种方法来访问应用程序的.wsdl文件中指定的~2,800个函数而不是,但这可能更像是我的SOAP- Fu弱于证明这些功能确实无法被合格的攻击者所接受。
只要在非WSDL模式下没有创建SoapServer,这是否需要关注?