php中eval函数的危害与正确禁用方法

禁用PHP eval函数
最新推荐文章于 2024-09-10 10:39:21 发布
最新推荐文章于 2024-09-10 10:39:21 发布
阅读量726 收藏
点赞数
文章标签: php中eval函数 eval危害 正确禁用eval方法
本文介绍了PHP中的eval函数带来的安全风险及其禁用方法。由于eval并非可通过disable_functions配置禁用的函数,文中推荐使用Suhosin扩展来实现eval的禁用。

php的eval函数并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法禁止它的。

但是eval()对于php安全来说具有很大的杀伤力,因此一般不用的情况下为了防止类似如下的一句话木马入侵,需要禁止!

?
1
<?php eval ( $_POST [cmd]);?>

eval()使用范例:

?
1
2
3
4
5
6
7
8
<?php
$string = '杯子' ;
$name = '咖啡' ;
$str = '这个 $string 中装有 $name.<br>' ;
echo $str ;
eval ( "$str = " $str ";" );
echo $str ;
?>

本例的传回值为:

?
1
2
这个 $string 中装有 $name.
这个 杯子 中装有 咖啡.

或更高级点的是:

?
1
2
3
4
5
6
<?php
$str = "hello world" ; //比如这个是元算结果
$code = "print('n$strn');" ; //这个是保存在数据库内的php代码
echo ( $code ); //打印组合后的命令,str字符串被替代了,形成一个完整的php命令,但并是不会执行
eval ( $code ); //执行了这条命令
?>

对于上面的咖啡的例子,在eval里面,首先字符串被替换了,其次替换完后形成一个完整的赋值命令被执行了.
 
这类小马砸门的情况是需要禁止掉的!
然而网上很多说使用disable_functions禁止掉eval的方法都是错误的!
其实eval()是无法用php.ini中的disable_functions禁止掉的 :
because eval() is a language construct and not a function

eval是zend的,因此不是PHP_FUNCTION 函数;

那么php怎么禁止eval呢?

如果想禁掉eval可以用php的扩展 Suhosin
安装Suhosin后在php.ini中load进来Suhosin.so,再加上suhosin.executor.disable_eval = on即可!

总结,php的eval函数在php中是无法禁用的,因此我们也只有使用插件了!

unixtech
关注
PHP代码审计中常见的漏洞(一)
武天旭的博客
05-31 1192
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版整合划分,再到学习实践验证,最后摒弃初始,用自己的语言实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题:
深入解析PHP反序列化漏洞:原理、利用防护
xinyaoyaotu的博客
02-20 1852
PHP中,序列化(Serialization)是将对象或数据结构转换为字符串的过程,以便于存储或传输。反序列化(Deserialization)则是将字符串还原为对象或数据结构的过程。// 序列化// 输出:a:2:{s:4:"name";s:3:"age";i:25;// 反序列化// 输出:Array ( [name] => Alice [age] => 25 )PHP反序列化漏洞因其高危害性和隐蔽性,成为Web应用安全中的一大威胁。
如何禁用php eval
cangyingaoyou的专栏
02-13 1389
php.ini中这样设置disable_functions =eval是无法禁用eval的,根据php手册说明,eval是一个语言构造器而不是一个函数。 如果要禁用eval,则需要第三方扩展,使用Suhosin。 Suhosin是朝鲜语“守护神”的音译,是一个专门的安全小组开发的专门针对php进行安全加固的补丁程 序,已经进入freebsd gentoo的ports系统。效果很好的。 Su
php禁用eval,php如何禁用eval
weixin_28931737的博客
03-10 791
php禁用eval方法:1、安装编译工具;2、安装suhosin;3、配置php支持suhosin;4、编辑phpinfo.php配置文件,修改配置【suhosin.executor.disable_eval = on】即可。具体方法:(推荐教程:php图文教程)1、安装编译工具yum install wget make gcc gcc-c++ zlib-devel openssl opens...
php7禁用eval
骷大人的博客
09-10 550
eval比较危险,php能直接执行POST传入的参数,由于eval并不是一个function,故使用php.ini中的disable_functions来禁用是无效的。
php eval函数用法总结
12-19
- "phpeval函数危害正确禁用方法" - "PHP eval()函数使用介绍" - "PHPeval()函数小技巧" 这些文章深入探讨了 `eval()` 的各种用法和潜在风险,以及如何更安全地使用它。 总的来说,虽然 `eval()` 在特定...
php 禁用eval( )函数
weixin_30247159的博客
05-17 500
phpeval函数并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法禁止它的。 但是eval()对于php安全来说具有很大的杀伤力,因此一般不用的情况下为了防止类似如下的一句话木马入侵,需要禁止! <?php $string = "beautiful"; $time = "winter"; $str = 'This is a $st...
php如何禁止eval,php如何禁止eval
weixin_35715190的博客
03-28 642
php禁止eval方法:首先安装好php的扩展“Suhosin”;然后在“php.ini”中加载“Suhosin.so”;最后添加内容为“suhosin.executor.disable_eval = on”即可。推荐:《PHP视频教程》php eval() 函数操作数组:...
全网最完整php禁用eval函数讲解
张无忌
08-02 2398
eval是一个语言构造器,并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法禁止它的。
PHP5 & PHP7 禁用 eval
hbh112233abc的博客
01-28 3546
原文地址:https://blog.lmzg.org/2018/PHP_disable_eval.html tips: eval是一个语言构造器而不是一个函数,不能被disable_functions禁止。 很多教程会提供suhosin禁用eval方法,但是不能用于php7(这里有suhosin的7.x开发版本) 关于使用suhosin禁用eval方法...
禁用eval函数
weixin_44706754的博客
04-19 2790
PHP 4, PHP 5, PHP 7) 无论是linux服务器还是windows服务器,eval命令是非常危险的 一、如何禁用eval命令 在php.ini中这样设置disable_functions =eval是无法禁用eval的,根据php手册说明,eval是一个语言构造器而不是一个函数。如果要禁用eval,则需要第三方扩展,使用Suhosin linux下suhosin的安装: wg...
php7.0版本以下 禁用eval函数以及其他危险函数
Jifei5201314的博客
03-04 396
说明: php安装目录:/usr/local/php5 php.ini配置文件路径:/usr/local/php5/etc/php.ini Nginx安装目录:/usr/local/nginx Nginx网站根目录:/usr/local/nginx/html 1、安装编译工具 yum install wget make gcc gcc-c++ zlib-devel openssl openssl-devel pcre-devel kernel keyutils patch perl 2、安装suhosi..
php安全】eval的禁止【原创】
liNewman的博客
05-12 1012
php安全】eval的禁止【原创】 前段时间,网站遭受了黑客的入侵,后来在排查中发现了一个php,里面的内容只有很少: &lt;?php eval($_POST[asda123131323156341]);?&gt; 然后网上搜索一下phpeval函数,发现这个eval函数带有很大的安全隐患。 本地...
利用PHP的特性做免杀Webshell
YJ_12340的博客
08-16 377
在构造Webshell的时候,我们如果知道Webshell检测引擎原理,就知道如何去bypass了,对于怎样过掉Webshell引擎这件事,需要开动脑筋多去找一下PHP的文档,去找一下原生类和其他能够中断污点追踪的方法,让引擎跟踪不到你的行为,而且尽量不要让敏感字符串出现在代码本体,因为有的引擎还是有字符串的正则特征检测,同时也要学会分析,分析自己的Webshell到底哪里出的问题,从而找到更好的方法去替换。...
php隐藏webshell_PHP 安全的十个必备技巧
weixin_39633917的博客
11-27 227
在这篇文章中,我将尝试为你提供一些可以提高 PHP 应用程序安全性的具体步骤。我关注的是 PHP 配置本身,所以我们不会讨论 SQL 注入、HTTPS 或其他 PHP 无关的问题。我将使用我的 docker-entrypoint.sh 脚本中的 bash 行来说明示例,但当然你可以将其应用于非 docker 环境。Sessions使用较长的 Session ID 长度增加会话 id 长度会使攻击...
php防止webshell,php防止webshell处理函数_PHP教程
weixin_39743414的博客
03-28 375
[^`]+)`s*;', file_contents, re.ignorecase)if match:shell = match.group("shell")if iname == 0:info = 'n[%s] :n'% (filepath)else:info = ''info += 't|-- [``] command is [%s] in line [%d] n'% (shell,i)flo...
php一句话木马
最新发布
03-22
### PHP一句话木马的原理 PHP一句话木马是一种简单的后门程序,它可以通过HTTP请求执行任意命令或脚本。这类木马的核心在于`eval()`函数的应用,该函数可以动态地评估并运行传入字符串中的PHP代码[^3]。例如: ```php <?php @eval($_GET["code"]);?> ``` 上述代码片段展示了最基础的一句话木马形式。攻击者通过向URL参数传递恶意代码来实现远程控制服务器的功能。 --- ### 防御措施 #### 1. **防止代码注入** 由于一句话木马通常是通过代码注入方式植入目标系统的,因此加强输入验证是至关重要的一步。开发者应确保所有外部数据都经过严格的过滤和转义处理,避免潜在的恶意代码被执行[^2]。 #### 2. **固定PHP访问入口** 为了减少一句话木马的风险,可以通过Web服务器配置限制合法的PHP文件访问路径。例如,在Nginx中设置如下规则可有效阻止未经授权的PHP文件执行: ```nginx # 只允许index.php作为唯一入口 location ~ .*/index\.(php)$ { fastcgi_pass 127.0.0.1:9000; } # 拒绝其他所有的PHP文件访问 location ~* .*\.(php)$ { deny all; } ``` 此配置能够显著降低非法PHP脚本被加载的可能性[^4]。 #### 3. **禁用危险函数** 在PHP环境中,某些内置函数可能成为一句话木马实施攻击的重要工具,比如`eval()`, `exec()`, 和`system()`等。建议在生产环境下禁用这些高风险函数。可以在`php.ini`中添加以下配置项: ```ini disable_functions = eval, exec, system, shell_exec, passthru, popen, proc_open ``` 这样即使存在漏洞,也能极大程度上削弱攻击者的操作能力。 #### 4. **定期更新补丁管理** 保持软件版本最新对于抵御已知威胁至关重要。无论是操作系统还是应用程序框架都需要及时安装官方发布的安全修复包[^1]。 #### 5. **强化权限管理** 遵循最小权限原则分配给Web服务进程必要的资源访问权能有效遏制一旦发生入侵后的损害范围扩展。例如Linux下的Apache/Nginx应该以低特权用户身份运行而不是root账户。 #### 6. **日志监控异常检测** 建立完善的日志记录机制可以帮助快速发现可疑活动迹象;同时部署专业的WAF(Web Application Firewall)产品或者IDS(Intrusion Detection System),它们能够在一定程度上识别并拦截尝试上传或触发此类恶意脚本的行为。 --- ### 结论 综上所述,虽然PHP一句话木马看似结构简单却蕴含巨大破坏力,但只要采取合理的预防手段就可以将其危害降到最低水平。这不仅依赖技术层面的努力还需要持续的安全意识培养工作贯穿整个团队之中。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值