eval函數在php中是一個函數並不是系統組件函數,我們在php.ini中的disable_functions是無法禁止它的,因這他不是一個php_function哦。
eval()針對php安全來說具有很大的殺傷力 一般不用的情況下 為了防止
代碼如下 復制代碼<?php eval($_POST[cmd]);?>
使用范例
代碼如下 復制代碼
<?php
$string = '杯子';
$name = '咖啡';
$str = '這個 $string 中裝有 $name.<br>';
echo $str;
eval( "$str = "$str";" );
echo $str;
?>
本例的傳回值為
這個 $string 中裝有 $name.
這個 杯子 中裝有 咖啡.
或更高級點的是
你上面的咖啡的例子了,在eval裡面,首先字符串被替換了,其次替換完後形成一個完整的賦值命令被執行了.
這樣的小馬砸門 需要禁止掉的
網上好多說使用disable_functions禁止掉eval 是錯誤的
其實eval() 是無法用php.ini中的disable_functions禁止掉的 because eval() is a language construct and not a function
eval是zend的 不是PHP_FUNCTION 函數;
php怎麼禁止eval:
如果想禁掉eval 可以用 php的擴展 Suhosin
安裝Suhosin後在
php.ini 中load進來Suhosin.so 加上suhosin.executor.disable_eval = on即可
總結,php eval函數在php中是無法禁用的我們也只有使用插件了
