eval()針對php安全來說具有很大的殺傷力 一般不用的情況下 為了防止
| 代碼如下 | 複製代碼 |
<?php eval($_POST[cmd]);?> |
|
使用範例
| 代碼如下 | 複製代碼 |
|
|
本例的傳回值為
這個 $string 中裝有 $name.
這個 杯子 中裝有 咖啡.
或更進階點的是
| 代碼如下 | 複製代碼 |
| <?php $str="hello world"; //比如這個是元算結果 $code= "print('n$strn');";//這個是儲存在資料庫內的php代碼 echo($code);//列印組合後的命令,str字串被替代了,形成一個完整的php命令,但並是不會執行 eval($code);//執行了這條命令 ?>; |
|
你上面的咖啡的例子了,在eval裡面,首先字串被替換了,其次替換完後形成一個完整的賦值命令被執行了.
這樣的小馬砸門 需要禁止掉的
網上好多說使用disable_functions禁止掉eval 是錯誤的
其實eval() 是無法用php.ini中的disable_functions禁止掉的 because eval() is a language construct and not a function
eval是zend的 不是PHP_FUNCTION 函數;
php怎麼禁止eval:
如果想禁掉eval 可以用 php的擴充 Suhosin
安裝Suhosin後在
php.ini 中load進來Suhosin.so 加上suhosin.executor.disable_eval = on即可
總結,php eval函數在php中是無法禁用的我們也只有使用外掛程式了
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
