php替代eval_php禁用eval - 也就这样

最新推荐文章于 2021-04-12 18:19:03 发布
最新推荐文章于 2021-04-12 18:19:03 发布
阅读量278 收藏 1
点赞数
文章标签: php替代eval
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30986517/article/details/115106525
版权

The eval() language construct is very dangerous because it allows execution of arbitrary PHP code.

eval是语言结构,不是函数,所以无法使用disable_functions来禁用

之前写过:从 php 内核挂载钩子解密源码,禁用的原理和这个差不多static zend_op_array* guard_compile_string(zval *source_string, char *filename)

{

if (strstr(filename, "eval()'d code")) {

return NULL;

}

return old_compile_string(source_string, filename);

}

PHP_MINIT_FUNCTION(guard)

{

old_compile_string = zend_compile_string;

zend_compile_string = guard_compile_string;

return SUCCESS;

}

PHP_MSHUTDOWN_FUNCTION(guard)

{

zend_compile_string = old_compile_string;

return SUCCESS;

}

为什么要写这篇文章

主要是因为之前太浪了:MySQL之类的端口都是直接绑定到公网的(并没有进行防火墙限制)

博客的目录权限为了偷懒直接设置成了 0777

最主要的是产生的严重后果:今天写文章的时候突然发现文章附件多了个为归属的fileadmin.zip;瞬间菊花一紧,上服务器一看,各种web shell。

在线工具的各种配置更新的还是比较及时,端口也收的比较紧,review之后发现应该不会产生类似的问题;这个问题暂时出现在了博客的vps上。

后面怎么解决这样的问题不向外暴露内部的端口

php hook eval

及时同步最新的php配置等

其他问题

laravel 中使用了 jeremeamia/superclosure 包,而这个包中使用了eval,所以不能正常工作;这样就需要在上面的代码中做个白名单。

伤的太深
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpeval函数的危害与正确用方法
01-20
phpeval函数并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法止它的。 但是eval()对于php安全来说具有很大的杀伤力,因此一般不用的情况下为了防止类似如下的一句话木马入侵,需要止! <?php eval($_POST[cmd]);?> eval()使用范例: <?php $string = '杯子'; $name = '咖啡'; $str = '这个 $string 中装有 $name.'; echo $str; eval( $str = $str; ); echo $str; ?> 本例的传回值为: 这个 $st
全网最完整phpeval函数讲解
张无忌
08-02 1970
eval是一个语言构造器,并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法止它的。
如何php eval
scorpiusws的专栏
10-24 307
php.ini中这样设置disable_functions =eval是无法eval的,根据php手册说明,eval是一个语言构造器而不是一个函数。 如果要eval,则需要第三方扩展,使用Suhosin。 Suhosin是朝鲜语“守护神”的音译,是一个专门的安全小组开发的专门针对php进行安全加固的补丁程 序,已经进入freebsd gentoo的ports系统。效果很好的。Suho
PHP 安装 diseval 扩展 eval()
qq_39004843的博客
10-20 1164
为什么要安装?eval是一个语言构造器而不是一个函数,不能被disable_functions止 步骤: 1.安装php-dev 如果是ubuntu/debian系统,使用:(注意PHP版本) # PHP5 sudo apt-get install php-dev # PHP7 sudo apt-get install php7.0-dev 如果是redhat/centos/fedora系统,使用: yum install php-devel 2.下载PHP_diseval_extension git
php eval( )函数
weixin_30247159的博客
05-17 433
phpeval函数并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法止它的。 但是eval()对于php安全来说具有很大的杀伤力,因此一般不用的情况下为了防止类似如下的一句话木马入侵,需要止! <?php $string = "beautiful"; $time = "winter"; $str = 'This is a $st...
Micrium_uC-Eval-STM32F107_uCOS-III.zip_STM32F107_uCOS full_uc--e
07-15
《深入解析STM32F107与uCOS-III集成开发》 STM32F107是一款基于ARM Cortex-M3内核的微控制器,由意法半导体(STMicroelectronics)制造。这款芯片以其高性能、低功耗、丰富的外设接口以及广泛的应用场景而广受...
TUSBAudio_v3.34.0_eval_Dream_2016-04-28.exe
05-17
TUSBAudio_v3.34.0_eval_Dream DREAM USB-DBG-IF
STM3210C-EVAL.rar_1728389_STM3210C _STM3210C-EVAL_STM3210C-EVAL_
09-23
STM3210C-EVAL是一款基于STM32系列微控制器的评估板,由意法半导体(STMicroelectronics)设计,用于开发和测试STM3210C微控制器的功能。这个压缩包文件包含了与STM3210C-EVAL相关的详细代码,这些代码已经过测试并...
STM3210C.rar_STM3210C _STM3210C-EVAL_stm32 原理图
09-23
此外,ST也为STM32系列提供了HAL库和LL库,简化了固件开发,使开发者能更专注于应用程序的逻辑而不是底层硬件操作。 总结来说,"STM3210C.rar"提供的"STM3210C.pdf"文件是学习STM3210C微控制器及其评估板的重要资源...
ST8R00_eval_evaluation_DC-DC_
10-03
ST8R00_eval_evaluation_DC-DC_这个标题表明我们关注的是一个用于评估ST8R00芯片的工具包,该芯片与直流到直流(DC-DC)转换器技术相关。在电子工程领域,DC-DC转换器是一种用于改变直流电源电压的设备,广泛应用于...
看我如何玩转PHP代码加密与解密
frankluwei的专栏
11-01 2779
看我如何玩转PHP代码加密与解密 virink / 2018-06-22 11:30:13 / 浏览数 6383 技术文章 技术文章顶(0) 踩(0)   前言 两次比赛,两个题目,两种方式,两个程序。 一切PHP的代码终究是要到Zend Engine上走一走的,因此一切PHP的源码加密都是可以被解密的。(不包括OpCode混淆-VMP) 代码混淆 比较恶心人的一种处理方式,也不太算...
linux php hook eval,Linux之eval命令使用方法详解
weixin_29420299的博客
03-18 263
eval命令将会首先扫描命令行进行所有的替换,类似于C语言中的宏替换,然后再执行命令。该命令使用于那些一次扫描无法实现其功能的变量。该命令对变量进行两次扫描。这些需要进行两次扫描的变量有时候被称为复杂变量。新建一个文件test将字符串”HelloWorld!“写入文件中,把cat test赋值给变量WORD,如果我们echo WORD并不能的到test中的内容;然而eval WORD则能显示文件中...
php替代eval_phpeval函数的替代方法是什么?
weixin_34329524的博客
03-09 1062
我最近回答了this question.my answer的最后一部分完美地回答了这个问题,对于未来的读者来说比这里提供的答案更有用.这就是我回答自己问题的原因.PHP具有在大多数情况下可以避免使用eval的功能:> PHP是非常动态的语言.它有能力使用strings执行以下操作:>定义和/或获取变量(从PHP 4.3支持).例如:$variableName = 'MyVariable...
php 过狗一句话木马的编写,过狗一句话编写之代码执行漏洞函数代替eval
weixin_42514432的博客
04-12 886
1.说明tips : 补发一个之前写的过狗一句话,当时有发在博客和t00ls,由于博客重建了,就从t00ls copy过来吧。2.起因及过狗原理今天下午看坛友发了一个求助贴,让帮忙分析一句话木马呢!帖子二楼的大牛分析的很到位,那个一句话木马用了函数回调的方法,传递一个存在代码执行漏洞的函数preg_replace来代替eval执行代码然后我就想着,安全狗查杀一句话的时候,通常检测eval 和 $_...
phpeval,php如何eval
weixin_28931737的博客
03-10 646
phpeval的方法:1、安装编译工具;2、安装suhosin;3、配置php支持suhosin;4、编辑phpinfo.php配置文件,修改配置【suhosin.executor.disable_eval = on】即可。具体方法:(推荐教程:php图文教程)1、安装编译工具yum install wget make gcc gcc-c++ zlib-devel openssl opens...
php eval函数用,一招教你php 如何用危险的eval() 函数
weixin_34316162的博客
04-02 1194
phpeval是一个函数并且不能直接用,但eval函数又相当的危险并经常会出现一些问题,今天我们就一起来看看eval函数对数组的操作及php 如何eval() 函数,需要的朋友可以参考下php eval() 函数操作数组:$data = "array('key1'=>'value1','key2'=>'value2','key3'=>'value3','key4'=&g...
php如何eval,php如何eval
weixin_35715190的博客
03-28 546
phpeval的方法:首先安装好php的扩展“Suhosin”;然后在“php.ini”中加载“Suhosin.so”;最后添加内容为“suhosin.executor.disable_eval = on”即可。推荐:《PHP视频教程》php eval() 函数操作数组:...
usage: ipykernel_launcher.py [-h] [--dataset {cifar10,cifar100}] [--output_dir OUTPUT_DIR] [--img_size IMG_SIZE] [--train_batch_size TRAIN_BATCH_SIZE] [--eval_batch_size EVAL_BATCH_SIZE] [--learning_rate LEARNING_RATE] [--weight_decay WEIGHT_DECAY] [--total_epoch TOTAL_EPOCH] ipykernel_launcher.py: error: unrecognized arguments: -f C:\Users\小皮王\AppData\Roaming\jupyter\runtime\kernel-b9c17d46-fd99-43af-a8ea-09585ccc9f61.json怎么改
最新发布
06-06
python ipykernel_launcher.py --dataset cifar10 --output_dir /path/to/output --img_size 32 --train_batch_size 128 --eval_batch_size 100 --learning_rate 0.1 --weight_decay 0.0001 --total_epoch 200 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值