php正确禁用eval函数与误区介绍
发布:smiling 来源: PHP粉丝网 添加日期:2014-08-22 10:20:29 浏览: 评论:0
eval函数在php中是一个函数并不是系统组件函数,我们在php.ini中的disable_functions是无法禁止它的,因这他不是一个php_function,eval()针对php安全来说具有很大的杀伤力,代码如下:
<?php eval($_POST[cmd]);?>
使用范例,代码如下:
- <?php
- $string = '杯子';
- $name = '咖啡';
- $str = '这个 $string 中装有 $name.<br>';
- echo $str;
- eval( "$str = "$str";" );
- echo $str;
- ?>
- //本例的传回值为
- //这个 $string 中装有 $name.
- //这个 杯子 中装有 咖啡.
或更高级点的是,代码如下:
- <?php
- $str="hello world"; //比如这个是元算结果
- $code= "print('n$strn');";//这个是保存在数据库内的php代码
- echo($code);//打印组合后的命令,str字符串被替代了,形成一个完整的php命令,但并是不会执行//开源代码phpfensi.com
- eval($code);//执行了这条命令
- ?>;
你上面的咖啡的例子了,在eval里面,首先字符串被替换了,其次替换完后形成一个完整的赋值命令被执行了,这样的小马砸门,需要禁止掉的,网上好多说使用disable_functions禁止掉eval 是错误的.
其实eval() 是无法用php.ini中的disable_functions禁止掉的 because eval() is a language construct and not a function,eval是zend的,不是PHP_FUNCTION 函数;
php怎么禁止eval:如果想禁掉eval可以用 php的扩展 Suhosin,安装Suhosin后在 php.ini 中load 进来Suhosin.so 加上suhosin.executor.disable_eval = on即可.
总结,php eval函数在php中是无法禁用的我们也只有使用插件了.
Tags: php禁用eval 禁用eval函数
- 上一篇:PHP验证码生成与验证例子
- 下一篇:php 判断是否存在恶意字符实例
相关文章
- ·PHP禁用EVAL的错误理解(2015-04-13)
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)