PHP安全解压用户上传ZIP需校验文件名防路径遍历，创建临时目录并限制扩展名；读取CSV/Excel前统一转UTF-8、清理BOM；导入前校验字段、去重、分批插入；用PDO事务+错误报告确保数据准确。

不安全。exec()调用系统命令获取本机IP存在命令注入、环境依赖、权限限制等风险；应改用socket出口探测等原生PHP方法，并过滤loopback、私有地址和虚拟网卡IP。

proc_open()被禁用会导致Composer无法调用git、unzip等系统命令，从而安装失败；常见于共享主机的php.ini中disable_functions限制，且ini_set()无法绕过；最可靠方案是本地完成install后上传vendor目录。

PHP读取RTF内存溢出的根本原因是全量加载富文本导致内存耗尽，解决需分块流式解析、控制字识别与括号深度跟踪，或转交unrtf/textutil预处理，辅以上传校验与降级策略。

PHP5.4.0起已彻底移除safe_mode，TRAe中所谓“PHP安全模式”实为disable_functions、open_basedir或沙箱限制；需检查PHP版本、禁用函数列表及TRAe三层防护机制并重启服务生效。

需警惕PHP8.4中eval()引发的远程代码执行风险，因其无法被disable_functions禁用；可行方法包括：一、启用PHP_diseval_extension扩展；二、部署Suhosin7兼容补丁版；三、启用宝塔内置PHP安全防护模块；四、手动注入Zend扩展钩子。