php中eval函数的危害有哪些-创新互联
这期内容当中小编将会给大家带来有关php中eval函数的危害有哪些,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。
php的eval函数并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法禁止它的。
但是eval()对于php安全来说具有很大的杀伤力,因此一般不用的情况下为了防止类似如下的一句话木马入侵,需要禁止!
<?php eval($_POST[cmd]);?>
eval()使用范例:
<?php $string = '杯子'; $name = '咖啡'; $str = '这个 $string 中装有 $name.<br>'; echo $str; eval( "$str = "$str";" ); echo $str; ?>
本例的传回值为:
这个 $string 中装有 $name. 这个 杯子 中装有 咖啡.
或更高级点的是:
<?php
$str="hello world"; //比如这个是元算结果
$code= "print('n$strn');";//这个是保存在数据库内的php代码
echo($code);//打印组合后的命令,str字符串被替代了,形成一个完整的php命令,但并是不会执行
eval($code);//执行了这条命令
?>对于上面的咖啡的例子,在eval里面,首先字符串被替换了,其次替换完后形成一个完整的赋值命令被执行了.
这类小马砸门的情况是需要禁止掉的!
然而网上很多说使用disable_functions禁止掉eval的方法都是错误的!
其实eval()是无法用php.ini中的disable_functions禁止掉的 :
because eval() is a language construct and not a function
eval是zend的,因此不是PHP_FUNCTION 函数;
那么php怎么禁止eval呢?
如果想禁掉eval可以用php的扩展 Suhosin:
安装Suhosin后在php.ini中load进来Suhosin.so,再加上suhosin.executor.disable_eval = on即可!
上述就是小编为大家分享的php中eval函数的危害有哪些了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注创新互联行业资讯频道。
分享标题:php中eval函数的危害有哪些-创新互联
分享地址:https://www.cdcxhl.com/article30/desppo.html
成都网站建设公司_创新互联,为您提供自适应网站、动态网站、品牌网站设计、外贸建站、响应式网站、做网站
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联
- 微信小程序为什么能比传统电商走得更远? 2014-06-02
- 小程序开发价格-微信小程序开发需要多少钱? 2016-11-09
- 微信小程序开发制作有哪些好处? 2021-03-09
- 上海小程序开发:微信小程序应用场景大盘点 2020-11-14
- 微信小程序开发平台有哪些开发文档和开发工具可以使用? 2022-08-07
- 微信小程序凭什么能成为企业、商家流量变现竞争新宠? 2022-05-12
- 微信小程序指向的“新零售模式”是什么样 2022-11-15
- 为什么微商、电商也要尽快布局微信小程序? 2022-05-17
- 成都微信小程序开发公司哪家好?_成都创新互联 2021-12-26
- 企业应做什么样的微信小程序? 2022-05-30
- 微信小程序真的可以代替APP,改变行业生态吗? 2022-11-17
- 微信小程序怎么玩,入口在哪里? 2022-01-30