php eval提高安全性,PHP的一个EVAL的利用防范 | CN-SEC 中文网

最新推荐文章于 2023-06-08 21:52:42 发布
最新推荐文章于 2023-06-08 21:52:42 发布
阅读量261 收藏
点赞数
文章标签: php eval提高安全性

摘要

作者:phpeval 前段时间一个程序出的问题。就和这差不多 <?php $code="${${eval($_GET[c])}}"; ?>

作者:phpeval

前段时间一个程序出的问题。就和这差不多

对于上面的代码。如果在URL提交http://www.phpeval.cn/test.php?c=phpinfo(); 就可以发现phpinfo()被执行了。而相应的提交c=echo 11111; 发现1111也被输出了。这个代码被执行了。

(好些PHP的代码在写文件的时候。都没有注意到这一点。他们在代码中写php的文件的时候。把代码加在双引号之内。然后过滤掉双引号。认为这样就不能执行了。实际上是可以的。)

还有一些利用方式,比如:

提交 http://www.site.cn/test.php?c=${${phpinfo()}}; phpinfo()就被执行。如果提交

http://www.site.cn/test.php?c=${${eval($_GET[d])}};&d=phpinfo();

这样的话,d后面的代码也被执行。

解决方法:

eval函数减弱了你的应用的安全性,因为它给被求值的文本赋予了太多的权力。强烈建议不要使用eval函数。

交叉科技
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpeval函数的危害与正确禁用方法
01-20
phpeval函数并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法禁止它的。 但是eval()对于php安全来说具有很大的杀伤力,因此一般不用的情况下为了防止类似如下的一句话木马入侵,需要禁止! <?php eval($_POST[cmd]);?> eval()使用范例: <?php $string = '杯子'; $name = '咖啡'; $str = '这个 $string 中装有 $name.'; echo $str; eval( $str = $str; ); echo $str; ?> 本例的传回值为: 这个 $st
php eval 安全性,php – 使用eval解析表单输入的方程式的最安全的方法
weixin_29504987的博客
03-11 105
如果你必须使用eval,它上面的eval docs页面有一些代码可以让你过滤数学公式.但正如其他人和PHP文档页面所说,除非没有其他选择,否则使用eval并不是一个好主意.$test = '2+3*pi';// Remove whitespaces$test = preg_replace('/\s+/', '', $test);$number = '(?:\d+(?:[,.]\d+)?|pi|π)...
提高PHP安全性有效办法
lin123_00的博客
08-17 211
尽管PHP是最流行的脚本语言,但用它编写的应用程序很容易受到攻击。作为开发者,你有责任保护你的 PHP 代码安全和应用程序免受潜在黑客的攻击。 粉丝福利安排,感谢大家一直以来的支持,谢谢! 面试12家公司,收获9个offer,2020年PHP 面试问题 PHP 安全最佳实践 为了创建可能是最安全的 PHP 网站并且保护您的敏感数据,请从这些技巧开始。 始终牢记安全性 作为开发人员,我们倾向于使用我们不完全了解的工具,并且承受着在优先考虑功能性的最后期限之前承受的压力。 问题是我们最终将安全.
php提高代码的安全性,php下过滤html代码的函数 提高程序安全性
weixin_39857876的博客
04-11 56
以下为过滤HTML代码的函数:复制代码代码如下:functionihtmlspecialchars($string){if(is_array($string)){foreach($stringas$key=>$val){$string[$key]=ihtmlspecialchars($val);}}else{$string=preg_replace('/&((#(d{3,5}|x[a...
php脚本防护,PHP一个EVAL利用防范
weixin_42297390的博客
03-11 225
作者:phpeval前段时间一个程序出的问题。就和这差不多。复制代码代码如下:$code="${${eval($_GET[c])}}";?>对于上面的代码。如果在URL提交http://www.phpeval.cn/test.php?c=phpinfo(); 就可以发现phpinfo()被执行了。而相应的提交c=echo 11111; 发现1111也被输出了。这个代码被执行了。(好些PHP的...
rank-eval-client-6.2.3-API文档-中文版.zip
04-07
包含翻译后的API文档:rank-eval-client-6.2.3-javadoc-API文档-中文(简体)版.zip 对应Maven信息:groupId:org.elasticsearch.plugin,artifactId:rank-eval-client,version:6.2.3 使用方法:解压翻译后的API...
blackdoor:客户端外壳利用php eval()
04-29
Blackdoor是NodeJS客户端,用于PHP中的简单eval()后门。 屏幕截图 如何使用 首先,在远程服务器上上传PHP后门,如下所示: if ( isset ( $ _REQUEST [ 'c' ]) && $ _REQUEST [ 'p' ] == 'your-passphrase' ...
decimal-eval:一个小巧,安全,快速JavaScript库,用于十进制算术表达式
04-03
十进制评估一个小巧,安全,快速JavaScript库,用于十进制算术表达式。 English |特征 :victory_hand: 由自动处理JavaScript的十进制精度问题 :rocket: 快速小巧,压缩后只有16 KB,压缩后为5.8 KB :writing_hand: ...
php eval函数用法总结
12-19
eval定义和用法 eval() 函数把字符串按照 PHP 代码来计算。 该字符串必须是合法的 PHP 代码,且必须以分号结尾。 如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析错误,则 eval&#...
php eval函数用法 PHPeval()函数小技巧
12-19
eval 将值代入字符串之中。 语法: void eval(string code_str); 传回值: 无 函式种类: 数据处理 内容说明 本函式可将字符串之中的变量值代入,通常用在处理数据库的数据上。参数 code_str 为欲处理的字符串...
提高 PHP 安全性的一些建议
weixin_43814458的博客
03-03 172
PHP5.5 开始,Opcache 扩展是核心的一部分,增加了对 PHP 脚本的字节码缓存的支持。对于动态语言(例如 PHP ),字节码缓存可以显著的提高性能,因为它可以确保脚本仅被编译一次。 Opcache 扩展的默认设置已经在很大程度上提高PHP 的性能,但是您可以通过修改默认配置以获取更佳的性能。 警告:这篇文章反复提到的监视统计信息opcache_get_status(fal...
php为什么要禁用eval(),php正确禁用eval函数与误区介绍_PHP教程
weixin_39967670的博客
03-21 315
eval函数在php中是一个函数并不是系统组件函数,我们在php.ini中的disable_functions是无法禁止它的,因这他不是一个php_function哦。eval()针对php安全来说具有很大的杀伤力 一般不用的情况下 为了防止代码如下复制代码使用范例代码如下复制代码$string = ‘杯子’;$name = ‘咖啡’;$str = ‘这个 $string 中装有 $name.‘;...
信息安全管理与评估随笔
小千安全
12-30 844
REC代码命令执行 代码执行又叫命令执行 代码执行 eval(‘echo 123;’); 当成echo执行 $myfile=fopen(“newfile.txt”,“w”) 命令执行 system(‘ipconfig’) kali命令 sudo passwd root 更改密码 msfconsole 启动msf connect show all show exploits 查看模块 show payloads 查看攻击载荷 options 查看需要设置的参数 Windows命令 netstat -a
PHP危险函数解析:保护程序免受攻击
Sgirll的博客
06-08 767
PHP 中有一些函数是比较危险的,也是进行PHP 代码审计的时候需要重点关注的内容。
###对华为OD分布式操作系统的详细介绍
05-22
华为OD
2110220116吴骏博.py
最新发布
05-22
2110220116吴骏博.py
基于Java的ApplicationPower快速项目生成脚手架设计源码
05-22
ApplicationPower项目生成脚手架设计源码:该项目基于Java开发,包含284个文件,主要使用Java和Shell语言。ApplicationPower是一个快速的项目生成脚手架,旨在帮助开发者快速搭建项目框架,包括创建项目结构、配置文件、开发环境等,提高开发效率。
基于MATLAB实现的OFDM经典同步算法之一Park算法仿真,附带Park算法经典文献+代码文档+使用说明文档.rar
05-22
CSDN IT狂飙上传的代码均可运行,功能ok的情况下才上传的,直接替换数据即可使用,小白也能轻松上手 【资源说明】 基于MATLAB实现的OFDM经典同步算法之一Park算法仿真,附带Park算法经典文献+代码文档+使用说明文档.rar 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2020b;若运行有误,根据提示GPT修改;若不会,私信博主(问题描述要详细); 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可后台私信博主; 4.1 期刊或参考文献复现 4.2 Matlab程序定制 4.3 科研合作 功率谱估计: 故障诊断分析: 雷达通信:雷达LFM、MIMO、成像、定位、干扰、检测、信号分析、脉冲压缩 滤波估计:SOC估计 目标定位:WSN定位、滤波跟踪、目标定位 生物电信号:肌电信号EMG、脑电信号EEG、心电信号ECG 通信系统:DOA估计、编码译码、变分模态分解、管道泄漏、滤波器、数字信号处理+传输+分析+去噪、数字信号调制、误码率、信号估计、DTMF、信号检测识别融合、LEACH协议、信号检测、水声通信 5、欢迎下载,沟通交流,互相学习,共同进步!
基于MATLAB实现的imu和视觉里程计 kalman滤波器 进行融合+使用说明文档.rar
05-22
CSDN IT狂飙上传的代码均可运行,功能ok的情况下才上传的,直接替换数据即可使用,小白也能轻松上手 【资源说明】 基于MATLAB实现的imu和视觉里程计 kalman滤波器 进行融合+使用说明文档.rar 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2020b;若运行有误,根据提示GPT修改;若不会,私信博主(问题描述要详细); 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可后台私信博主; 4.1 期刊或参考文献复现 4.2 Matlab程序定制 4.3 科研合作 功率谱估计: 故障诊断分析: 雷达通信:雷达LFM、MIMO、成像、定位、干扰、检测、信号分析、脉冲压缩 滤波估计:SOC估计 目标定位:WSN定位、滤波跟踪、目标定位 生物电信号:肌电信号EMG、脑电信号EEG、心电信号ECG 通信系统:DOA估计、编码译码、变分模态分解、管道泄漏、滤波器、数字信号处理+传输+分析+去噪、数字信号调制、误码率、信号估计、DTMF、信号检测识别融合、LEACH协议、信号检测、水声通信 5、欢迎下载,沟通交流,互相学习,共同进步!
php漏洞eval,Web安全之代码执行漏洞
05-16
PHP 中的 eval 函数是一个非常强大的函数,可以执行任何字符串参数。但是,这也使得它成为了被黑客利用一个漏洞点。 当 PHP 程序中的用户输入被传递到 eval 函数中时,如果黑客能够控制这个输入,他们就可以在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值