php正确禁用eval函数

post by rocdk890 / 2013-11-21 14:55 Thursday linux技术
  eval()针对php安全来说具有很大的杀伤力,一般不用的情况下,为了防止<?php eval($_POST[cmd]);?> 这样的小马砸门,需要禁止掉的.
网上好多说使用disable_functions禁止掉eval是错误的,其实eval()是无法用php.ini中的disable_functions禁止掉的because eval() is a language construct and not a function,eval是zend的,不是PHP_FUNCTION 函数.

php怎么禁止eval:
如果想禁掉eval可以用php的扩展Suhosin
安装Suhosin后,在php.ini中load进来Suhosin.so加上suhosin.executor.disable_eval = on即可.

ps:http://www.ileiming.com/php%E7%A6%81%E7%94%A8eval%E7%9A%84%E8%AF%AF%E5%8C%BA.html
夜空- 本站版权
1、本站所有主题由该文章作者发表,该文章作者与夜空享有文章相关版权
2、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和夜空的同意
3、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
4、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
5、原文链接:blog.slogra.com/post-485.html

标签: php 禁止 eval 函数 disable

评论: