php替代eval_php禁用eval - 也就这样

最新推荐文章于 2024-09-10 10:39:21 发布
最新推荐文章于 2024-09-10 10:39:21 发布
阅读量308 收藏 1
点赞数
文章标签: php替代eval
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30986517/article/details/115106525
版权

The eval() language construct is very dangerous because it allows execution of arbitrary PHP code.

eval是语言结构,不是函数,所以无法使用disable_functions来禁用

之前写过:从 php 内核挂载钩子解密源码,禁用的原理和这个差不多static zend_op_array* guard_compile_string(zval *source_string, char *filename)

{

if (strstr(filename, "eval()'d code")) {

return NULL;

}

return old_compile_string(source_string, filename);

}

PHP_MINIT_FUNCTION(guard)

{

old_compile_string = zend_compile_string;

zend_compile_string = guard_compile_string;

return SUCCESS;

}

PHP_MSHUTDOWN_FUNCTION(guard)

{

zend_compile_string = old_compile_string;

return SUCCESS;

}

为什么要写这篇文章

主要是因为之前太浪了:MySQL之类的端口都是直接绑定到公网的(并没有进行防火墙限制)

博客的目录权限为了偷懒直接设置成了 0777

最主要的是产生的严重后果:今天写文章的时候突然发现文章附件多了个为归属的fileadmin.zip;瞬间菊花一紧,上服务器一看,各种web shell。

在线工具的各种配置更新的还是比较及时,端口也收的比较紧,review之后发现应该不会产生类似的问题;这个问题暂时出现在了博客的vps上。

后面怎么解决这样的问题不向外暴露内部的端口

php hook eval

及时同步最新的php配置等

其他问题

laravel 中使用了 jeremeamia/superclosure 包,而这个包中使用了eval,所以不能正常工作;这样就需要在上面的代码中做个白名单。

伤的太深
关注
php7.2/7.3宝塔禁用eval
qq_41101646的博客
03-02 749
eval方法不能在宝塔的PHP禁用函数中禁止宝塔的禁用函数修改的是PHP配置文件的disable_functions,但是这样改是无效的网上有说用suhosin的,但是这个不支持7.2,只支持到7.1我找了下,还有另外一个扩展也很好用,已经试过了,eval禁用成功GitHub - sjinks/php-disable-eval: Disable eval() and create_function() in PHP具体操作流程1.下载git包,上传到www/soft/,具体目录你可以自行决定2.解压git包
如何禁用php eval
09-15
如何禁用php eval,可以参考参考。
php 禁用eval( )函数
weixin_30247159的博客
05-17 457
phpeval函数并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法禁止它的。 但是eval()对于php安全来说具有很大的杀伤力,因此一般不用的情况下为了防止类似如下的一句话木马入侵,需要禁止! <?php $string = "beautiful"; $time = "winter"; $str = 'This is a $st...
全网最完整php禁用eval函数讲解
张无忌
08-02 2140
eval是一个语言构造器,并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法禁止它的。
php怎么禁用eval函数
weixin_34099526的博客
09-11 310
2019独角兽企业重金招聘Python工程师标准>>> ...
php如何禁止eval,php如何禁止eval
weixin_35715190的博客
03-28 598
php禁止eval的方法:首先安装好php的扩展“Suhosin”;然后在“php.ini”中加载“Suhosin.so”;最后添加内容为“suhosin.executor.disable_eval = on”即可。推荐:《PHP视频教程》php eval() 函数操作数组:...
php eval函数用法总结
12-19
这样的用法可以帮助简化代码结构,但同样也增加了潜在的安全风险。 ```php if (!isset($active_record) OR $active_record == TRUE) { require_once(BASEPATH.'database/DB_active_rec.php'); if (!class_exists...
PHP eval函数使用介绍
12-18
这里提到了一些关于`eval()`函数的其他文章,包括如何在字符串中计算表达式、`eval()`的定义和用法、如何防止`eval()`函数带来的安全问题以及如何在PHP禁用`eval()`。 总之,`eval()`函数在PHP中是一个强大但危险...
PHP_diseval_extension-master
06-30
"PHP_diseval_extension-master"是一个资源包,专门针对PHP7,目的是在不支持或禁用`eval()`功能时提供替代方案。 1. **`eval()`的危险性**: - **安全风险**:`eval()`可以执行任意字符串,如果这个字符串来自不...
浅谈PHP eval()函数定义和用法
12-18
PHP中的`eval()`函数是一个非常强大但同时也有潜在风险的功能,它允许我们将字符串作为PHP代码执行。这个函数在处理动态生成的代码或者从外部源(如数据库)获取的代码时非常有用,但也容易被滥用,可能导致安全问题...
PHP7+禁用eval函数解决方案
4. 解决方案的可能方法:开发者可能需要寻找替代eval的方法,或者通过修改配置、使用白名单策略、添加额外的安全检查来有条件地使用eval函数。 5. 使用第三方扩展或补丁:如果官方没有提供合适的解决方案,开发者...
phpeval函数的危害与正确禁用方法
10-25
主要介绍了phpeval函数的危害与正确禁用方法,需要的朋友可以参考下
php eval函数禁用,一招教你php 如何禁用危险的eval() 函数
weixin_34316162的博客
04-02 1230
phpeval是一个函数并且不能直接禁用,但eval函数又相当的危险并经常会出现一些问题,今天我们就一起来看看eval函数对数组的操作及php 如何禁用eval() 函数,需要的朋友可以参考下php eval() 函数操作数组:$data = "array('key1'=>'value1','key2'=>'value2','key3'=>'value3','key4'=&g...
php7禁用eval
最新发布
骷大人的博客
09-10 324
eval比较危险,php能直接执行POST传入的参数,由于eval并不是一个function,故使用php.ini中的disable_functions来禁用是无效的。
php禁用eval,php如何禁用eval
weixin_28931737的博客
03-10 733
php禁用eval的方法:1、安装编译工具;2、安装suhosin;3、配置php支持suhosin;4、编辑phpinfo.php配置文件,修改配置【suhosin.executor.disable_eval = on】即可。具体方法:(推荐教程:php图文教程)1、安装编译工具yum install wget make gcc gcc-c++ zlib-devel openssl opens...
php如何禁止eval,php 如何禁用eval() 函数实例详解_php实例
weixin_35943077的博客
03-28 165
php eval() 函数操作数组:'value1','key2'=>'value2','key3'=>'value3','key4'=>'value4')" ;="" $arr="eval("return" $data;");="" var_dump($arr);="" array="" ?="">运行结果:array(4) { ["key1"]=> string(...
PHP 安装 diseval 扩展 禁用eval()
qq_39004843的博客
10-20 1241
为什么要安装?eval是一个语言构造器而不是一个函数,不能被disable_functions禁止 步骤: 1.安装php-dev 如果是ubuntu/debian系统,使用:(注意PHP版本) # PHP5 sudo apt-get install php-dev # PHP7 sudo apt-get install php7.0-dev 如果是redhat/centos/fedora系统,使用: yum install php-devel 2.下载PHP_diseval_extension git
usage: ipykernel_launcher.py [-h] [--dataset {cifar10,cifar100}] [--output_dir OUTPUT_DIR] [--img_size IMG_SIZE] [--train_batch_size TRAIN_BATCH_SIZE] [--eval_batch_size EVAL_BATCH_SIZE] [--learning_rate LEARNING_RATE] [--weight_decay WEIGHT_DECAY] [--total_epoch TOTAL_EPOCH] ipykernel_launcher.py: error: unrecognized arguments: -f C:\Users\小皮王\AppData\Roaming\jupyter\runtime\kernel-b9c17d46-fd99-43af-a8ea-09585ccc9f61.json怎么改
06-06
python ipykernel_launcher.py --dataset cifar10 --output_dir /path/to/output --img_size 32 --train_batch_size 128 --eval_batch_size 100 --learning_rate 0.1 --weight_decay 0.0001 --total_epoch 200 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值