php如何禁用eval函数

最新推荐文章于 2024-03-02 16:06:56 发布
最新推荐文章于 2024-03-02 16:06:56 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: php 文章标签: php 函数 木马 安全

http://www.jb51.NET/article/51670.htm

PHP的eval函数并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法禁止它的。

但是eval()对于php安全来说具有很大的杀伤力,因此一般不用的情况下为了防止类似如下的一句话木马入侵,需要禁止!

<?php eval($_POST[cmd]);?>

eval()使用范例:

<?php
$string = '杯子';
$name = '咖啡';
$str = '这个 $string 中装有 $name.<br>';
echo $str;
eval( "$str = "$str";" );
echo $str;
?>

这个 $string 中装有 $name.
这个 杯子 中装有 咖啡.
或更高级点的是:

<?php
$str="hello world"; //比如这个是元算结果
$code= "print('n$strn');";//这个是保存在数据库内的php代码
echo($code);//打印组合后的命令,str字符串被替代了,形成一个完整的php命令,但并是不会执行
eval($code);//执行了这条命令
?>

对于上面的咖啡的例子,在eval里面,首先字符串被替换了,其次替换完后形成一个完整的赋值命令被执行了.

这类小马砸门的情况是需要禁止掉的!
然而网上很多说使用disable_functions禁止掉eval的方法都是错误的!
其实eval()是无法用php.ini中的disable_functions禁止掉的 :
because eval() is a language construct and not a function

eval是zend的,因此不是PHP_FUNCTION 函数;

那么php怎么禁止eval呢?

如果想禁掉eval可以用php的扩展 Suhosin:
安装Suhosin后在php.ini中load进来Suhosin.so,再加上suhosin.executor.disable_eval = on即可!

总结,php的eval函数在php中是无法禁用的,因此我们也只有使用插件了!

leijinlei_coder
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phpeval函数的危害与正确禁用方法
01-20
phpeval函数并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法禁止它的。 但是eval()对于php安全来说具有很大的杀伤力,因此一般不用的情况下为了防止类似如下的一句话木马入侵,需要...
thinkphp框架的一些安全策略
尚贝贝(软件测试)
12-16 2897
thinkphp 框架安全策略
linux thinkphp5 php7.0禁用eval
qq_42740298的博客
09-18 548
eval是属于高危函数,本人很多个项目都是用tinkphp5写的,最近有个权重3的站点被挂了木马,导致网站直接被k,特别惨。排查发现是因为eval函数植入的文件,发现php配置里是禁用不了eval函数的,需要安装diseval。 网上查找了一圈,结合实际操作,整理出以下教程: 环境 php7.0 linux apache 2.4 压缩包 自己百度搜 网上去下载 PHP_diseval_extension-master 1.首先将压缩包上传解压到var下 unzip PHP_diseval_extensio
php7.2/7.3宝塔禁用eval
最新发布
qq_41101646的博客
03-02 383
eval方法不能在宝塔的PHP禁用函数中禁止宝塔的禁用函数修改的是PHP配置文件的disable_functions,但是这样改是无效的网上有说用suhosin的,但是这个不支持7.2,只支持到7.1我找了下,还有另外一个扩展也很好用,已经试过了,eval禁用成功GitHub - sjinks/php-disable-eval: Disable eval() and create_function() in PHP具体操作流程1.下载git包,上传到www/soft/,具体目录你可以自行决定2.解压git包
解决TP5项目被恶意篡改、注入代码问题
sunsineq的专栏
05-21 2228
解决TP5项目被恶意篡改、注入代码问题 首先,谈谈这个曲折的经历! 第一次,被人用eval()函数注入了文件,发现后,我就禁了这些PHP高危险函数! 第二次,就是被人在入口文件中注入了代码,在public文件夹中,多出了很多文件。然后我就修改了宝塔面板的密码,加上下面的第2步,目前暂时没有被注入了,希望能帮到大家! 如果还有更好的办法,希望不吝赐教,留下你宝贵的经验,万分感谢! 1、禁掉高危险函数evalphpinfo这2个函数必须禁掉! (1)...
记一次黑客攻击,网站来了大量不良搜索词
qq_32253969的博客
08-02 1128
网站来了大量不良搜索词
全网最完整php禁用eval函数讲解
张无忌
08-02 1838
eval是一个语言构造器,并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法禁止它的。
PHP版本安装Suhosin扩展禁用eval函数教程(宝塔面板)
Charles_n的博客
11-16 989
PHP版本安装Suhosin扩展禁用eval函数教程(宝塔面板)
php禁用eval,php如何禁用eval
weixin_28931737的博客
03-10 622
php禁用eval的方法:1、安装编译工具;2、安装suhosin;3、配置php支持suhosin;4、编辑phpinfo.php配置文件,修改配置【suhosin.executor.disable_eval = on】即可。具体方法:(推荐教程:php图文教程)1、安装编译工具yum install wget make gcc gcc-c++ zlib-devel openssl opens...
宝塔面板eval防护及木马发现(thinkphp5.0.23)
weixin_39873598的博客
01-31 4820
背景:网站被挂马,并且被改动了index.php。导致显示的入口文件为挂马文件 1、查看被攻击的当天的访问日志。  tail www.***-access_log 如图所示,我们看到日志的日期格式为[31/Jan/2019] 然后过滤到当天的查询日志,并保存文件 cat www.***-access_log | grep "30/Jan/2019" &gt; /tmp/2019-...
PHP eval函数使用介绍
10-26
eval()函数中的evalevaluate的简称,这个函数的作用就是把一段字符串当作PHP语句来执行,一般情况下不建议使用容易被黑客利用
php eval函数用法总结
12-19
函数把字符串按照 PHP 代码来计算。 该字符串必须是合法的 PHP 代码,且必须以分号结尾。 如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析错误,则 eval() 函数返回 false。 ...
php eval函数禁用,一招教你php 如何禁用危险的eval() 函数
weixin_34316162的博客
04-02 1176
phpeval是一个函数并且不能直接禁用,但eval函数又相当的危险并经常会出现一些问题,今天我们就一起来看看eval函数对数组的操作及php 如何禁用eval() 函数,需要的朋友可以参考下php eval() 函数操作数组:$data = "array('key1'=>'value1','key2'=>'value2','key3'=>'value3','key4'=&g...
禁用eval函数
weixin_44706754的博客
04-19 2600
PHP 4, PHP 5, PHP 7) 无论是linux服务器还是windows服务器,eval命令是非常危险的 一、如何禁用eval命令 在php.ini中这样设置disable_functions =eval是无法禁用eval的,根据php手册说明,eval是一个语言构造器而不是一个函数。如果要禁用eval,则需要第三方扩展,使用Suhosin linux下suhosin的安装: wg...
网络安全-webshell详解(原理、攻击、检测与防御)
热门推荐
关注网络安全、云原生安全
09-14 5万+
简介 原理 攻击 WebShell管理工具 Cknife中国菜刀 antSword中国蚁剑 冰蝎动态二进制加密网站管理客户端 weevely3Weaponized web shell Altmanthe cross platform webshell tool in .NET Webshell SniperManage your website via terminal quasibotcomplex webshell manager, quasi-http botne...
php怎么禁用eval函数,安装suhosin扩展
longxiao_love的博客
01-14 258
安装扩展 第一步wget http://download.suhosin.org/suhosin-0.9.37.1.tar.gz tar zxvf suhosin-0.9.37.1.tar.gz 第二步cd suhosin-0.9.37.1/ 第三步phpize 第四步./configure --with-php-config=/usr/local/bin/php-config 第五步make 第六步make install 在etc/php.ini中加入如下代码,启用当前扩展 extens
php如何禁止eval,php如何禁止eval
weixin_35715190的博客
03-28 536
php禁止eval的方法:首先安装好php的扩展“Suhosin”;然后在“php.ini”中加载“Suhosin.so”;最后添加内容为“suhosin.executor.disable_eval = on”即可。推荐:《PHP视频教程》php eval() 函数操作数组:...
怎样禁止phpeval
06-13
需要注意的是,禁用eval函数可能会影响现有的PHP代码,因此应该先测试代码是否受影响,再决定是否禁用eval函数。另外,禁用eval函数并不能完全消除安全风险,仍然需要采取其他安全措施来保护应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值