php中的`eval`()与`create_function`()

最新推荐文章于 2024-07-02 17:06:00 发布
最新推荐文章于 2024-07-02 17:06:00 发布
阅读量237 收藏
点赞数
分类专栏: php

* eval()与create_function()

 

* 一、eval()

* 1.eval()函数把字符串按照 PHP 代码来计算

* 2.该字符串必须是合法的 PHP 代码,且必须以分号结尾

* 3.如果没有在代码字符串中调用 return 语句,则返回 NULL

* 4.如果代码中存在解析错误,则 eval() 函数返回 false

* 5.该函数对于在数据库文本字段中供日后计算而进行的代码存储很有用

* 二、create_function('参数','函数体代码'):创建匿名函数

//以下二条语句功能完全一样

1

2

eval('echo 4+5;');  //输出9

echo eval('return 4+5;'); //返回9并显示在屏幕上

//尽管上面二条语句功能一样,但返回值不相同

//所以,如果想要引用eval()返回值,必须在语句字符串中使用return

1

2

var_dump(eval('echo 4+5;')); //返回 NULL

var_dump(eval('return 4+5;')); //返回 9

//eval()注入攻击演示

1

isset($_GET['p']) ? eval($_GET['p']) : null;

//现在在url后面添加 ?p=phpinfo(); 或其它php合法语句,会直接执行,注入成功

//你可以加入你的广告,你的跳转地址等,达到恶意攻击的目的

//用create_functoin()创建匿名函数

//因为该函数已被弃用,部分编辑器会给出警告,多说无益

//知道这个函数曾经来过这个世界上就足够了

1

2

$func1 = create_function('$a,$b', 'return ($a+$b);');

echo $func1(10,20);

以上就是php中的eval()与create_function()的详细内容,更多请关注php中文网其它相关文章!

暗影岛-寒冰射手
关注
专栏目录
Web 应用渗透测试 01 - 命令注入(Code Injection)之 create_function
0pr
02-04 1127
这篇文章将讨论 PHP Web 应用 **create_function** 的命令注入。命令注入,究其根源,都是未对用户提供的输入做合理过滤造成的。当然,编程语言本身内置的危险方法的使用,是命令注入频发的另一原因。
一道create_function代码执行
weixin_43999372的博客
04-08 963
create_function函数的实现代码执行的原理 一道ctf说明 <?php error_reporting(0); if(isset($_GET['action'])) { $action = $_GET['action']; } if(isset($_GET['action'])){ $arg = $_GET['arg']; } if(preg_match('/...
create function php,phpeval()与create_function()
weixin_33348983的博客
03-09 156
* eval()与create_function()* 一、eval()* 1.eval()函数把字符串按照 PHP 代码来计算* 2.该字符串必须是合法的 PHP 代码,且必须以分号结尾* 3.如果没有在代码字符串调用 return 语句,则返回 NULL* 4.如果代码存在解析错误,则 eval() 函数返回 false* 5.该函数对于在数据库文本字段供日后计算而进行的代码存储很有用*...
PHP代码 之create_function()函数
snowlyzz的博客
10-05 4495
create_function 详解
create function php,PHP create_function 用法 手册 | 示例代码
weixin_36472962的博客
03-09 227
In the process of migrating a PHP4 codebase to PHP5, I ran into a peculiar problem. In the library, every class was derived from a generic class called 'class_container'. 'class_container' contained a...
create function php,PHP create_function()代码注入,PHP7.2竟然还存在
weixin_32364135的博客
03-09 130
第一部分:介绍php函数 create_functionstringcreate_function (string$args ,string$code )string$args变量部分string$code 方法代码部分举例:create_function('$fname','echo $fname."Zhang"')类似于:function fT($fname) {...
代码审计+ php 特性 +create_function代码注入 绕过
最新发布
qq_52579508的博客
07-02 595
一道道if 来分析。
php eval函数用法 PHPeval()函数小技巧
12-19
如果确实需要动态执行代码,可以考虑使用其他替代方案,如`create_function()`或`Closure`对象,它们在某些情况下能提供更安全的代码执行机制。 总的来说,`eval()`在PHP是一个强大但危险的工具。正确理解和谨慎...
攻防世界之webshell(web简单)
my_name_is_sy的博客
05-29 670
补充了php一句话的相关知识。
php assert eval,代码执行函数之一句话木马
weixin_28864249的博客
03-23 2074
前言大家好,我是阿里斯,一名IT行业小白。非常抱歉,昨天的内容出现瑕疵比较多,今天重新整理后再次发出,修改并添加了细节,另增加了常见的命令执行函数如果哪里不足,还请各位表哥指出。eval和assert的区别eval特点eval()会把字符串按照php代码来执行(合法的php代码,以分号结尾)eval()是一个语言构造器,不能被可变函数调用eval($_REQUEST[1]); #eval一句话...
create_function() 代码注入,,PHP7.2竟然还存在
烟敛寒林的博客
05-09 1万+
第一部分:php函数 create_function() 介绍 理论: create_function()主要用来创建匿名函数,有时候匿名函数可以发挥它的作用。 stringcreate_function (string$args ,string$code ) string$args变量部分 string$code 方法代码部分 举例: create...
执行php表达式字符串,相比于eval,create_function也许是个更好的选择……
森森
09-11 3385
学过js的人都知道,js里有个eval函数,eval() 函数可计算某个字符串,并执行其的 JavaScript 代码。 eval("x=10;y=20;document.write(x*y)") document.write(eval("2+2")) var x=10 document.write(eval(x+17)) 200 4 27 而在PHP里也有执行ph
PHPcreate_function的用法总结
azzfanke的专栏
12-22 7801
php,函数create_function主要用来创建匿名函数,有时候匿名函数可以发挥它的作用。 1.测试一 测试一主要用来循环替换数组多个值的,我们用array_map加上create_function解决这个问题。 ############################################### function filterChars($a) {
PHP防止木马攻击的技巧
钟长森的博客
04-12 769
点击查看详细设置步骤
PHP - 代码执行 - create_function()
3569
11-29 1761
https://paper.seebug.org/94/ create_function() 大致流程如下 1. 获取参数, 函数体; 2. 拼凑一个”function __lambda_func (参数) { 函数体;} “的字符串; 3. eval; 4. 通过__lambda_func在函数表找到eval后得到的函数体, 找不到就出错; 5. 定义一个函数名:”\000_la...
PHP create_function()代码注入
weixin_33965305的博客
02-19 511
第一部分:介绍php函数 create_function():string create_function ( string $args , string $code )string $args 变量部分string $code 方法代码部分举例:create_function('$fname','echo$fname."Zhang"')类似于:func...
PHP升级7.2之后需要注意的事情
热门推荐
Mider'S Blog
02-28 1万+
最近升级了PHP版本,从7.1升级到7.2,升级前版本: PHP 7.1.14 (cli) (built: Feb 2 2018 08:42:59) ( NTS ) Copyright (c) 1997-2018 The PHP Group Zend Engine v3.1.0, Copyright (c) 1998-2018 Zend Technologies with Zend...
PHPeval函数的危害与正确禁用方法
代码技巧
12-13 5165
phpeval函数并不是系统组件函数,因此我们在php.ini使用disable_functions是无法禁止它的。但是eval()对于php安全来说具有很大的杀伤力,因此一般不用的情况下为了防止类似如下的一句话木马入侵,需要禁止!php eval($_POST[cmd]);?>eval()使用范例:php$string = '杯子';$name = '咖啡';$str = '这个 $stri
PHP扩展yaf安装'IS_CONSTANT_ARRAY
吃不到鸡
07-19 1050
前言 灭霸终于集齐了七颗原石,消灭了妇联,打死了老爹,饿死了王境泽,正准备打响指的时候,突然传来一声sks的枪声:“嘭”,灭霸不甘心的应声倒地,这时从远处传来:“我卢本伟打死不开挂” 引申 今天就只针对yaf安装的一个坑做文章------着急的童鞋可以直接看后面的解决方法,不着急的可以看看如何出现这个错误的 yaf_config.c:81:9: error: use of undeclar...
PHPeval后门技巧解析
"这篇文章主要探讨了PHPeval的代码执行后门方法,包括assert、create_function、preg_replace以及mb_ereg_replace等函数的使用。虽然PHP 7对某些函数进行了限制,但仍然存在绕过的方式。" 在PHP,进行任意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值