黑帽联盟

 找回密码
 会员注册
查看: 1524|回复: 0
打印 上一主题 下一主题

[php] php禁用eval() 函数实例详解

[复制链接]

148

主题

9

听众

337

积分

版主

Rank: 7Rank: 7Rank: 7

  • TA的每日心情
    擦汗
    2018-6-6 11:33
  • 签到天数: 348 天

    [LV.8]以坛为家I

    在php中eval是一个函数并且不能直接禁用了,但eval函数又相当的危险并经常会出现一些问题,那如何禁用eval() 函数呢?

    php eval() 函数操作数组:
    1. <?php
    2. $data = "array('key1'=>'value1','key2'=>'value2','key3'=>'value3','key4'=>'value4')";
    3. $arr = eval("return $data;");
    4. var_dump($arr); //array
    5. ?>
    复制代码
    运行结果:
    1. array(4) { ["key1"]=> string(6) "value1" ["key2"]=> string(6) "value2" ["key3"]=> string(6) "value3" ["key4"]=> string(6) "value4" }
    复制代码
    网上很多说使用disable_functions禁止掉eval的方法都是错误的!

    其实eval()是无法用php.ini中的disable_functions禁止掉的 :
    because eval() is a language construct and not a function
    eval是zend的,因此不是PHP_FUNCTION 函数;

    那么php怎么禁止eval呢?
    如果想禁掉eval可以用php的扩展 Suhosin:

    安装Suhosin后在php.ini中load进来Suhosin.so,再加上suhosin.executor.disable_eval = on即可


    帖子永久地址: 

    黑帽联盟 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与黑帽联盟享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和黑帽联盟的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、黑帽联盟管理员和版主有权不事先通知发贴者而删除本文

    您需要登录后才可以回帖 登录 | 会员注册

    发布主题 !fastreply! 收藏帖子 返回列表 搜索
    回顶部