php正确禁用eval函数与误区介绍

eval()针对php安全来说具有很大的杀伤力 一般不用的情况下 为了防止

 代码如下 复制代码

<?php eval($_POST[cmd]);?>

使用范例

 代码如下 复制代码

<?php
$string = '杯子';
$name = '咖啡';
$str = '这个 $string 中装有 $name.<br>';
echo $str;
eval( "$str = "$str";" );
echo $str;
?>

本例的传回值为
这个 $string 中装有 $name.
这个 杯子 中装有 咖啡.

或更高级点的是

 代码如下 复制代码
<?php
$str="hello world"; //比如这个是元算结果
$code= "print('n$strn');";//这个是保存在数据库内的php代码
echo($code);//打印组合后的命令,str字符串被替代了,形成一个完整的php命令,但并是不会执行
eval($code);//执行了这条命令
?>;

 你上面的咖啡的例子了,在eval里面,首先字符串被替换了,其次替换完后形成一个完整的赋值命令被执行了.

 

这样的小马砸门 需要禁止掉的

网上好多说使用disable_functions禁止掉eval 是错误的
其实eval() 是无法用php.ini中的disable_functions禁止掉的  because eval() is a language construct and not a function

eval是zend的 不是PHP_FUNCTION 函数;

php怎么禁止eval:

如果想禁掉eval 可以用 php的扩展 Suhosin

安装Suhosin后在

php.ini 中load进来Suhosin.so 加上suhosin.executor.disable_eval = on即可

总结,php eval函数在php中是无法禁用的我们也只有使用插件了

时间: 2024-09-23 20:50:57

php正确禁用eval函数与误区介绍的相关文章

php禁用eval() 函数实例 php怎么禁用eval() 函数

php eval() 函数操作数组: <?php $data = "array('key1'=>'value1','key2'=>'value2','key3'=>'value3','key4'=>'value4')"; $arr = eval("return $data;"); var_dump($arr); //array ?> 运行结果: array(4) { ["key1"]=> string(6

php 如何禁用eval() 函数实例详解_php实例

php eval() 函数操作数组: <?php $data = "array('key1'=>'value1','key2'=>'value2','key3'=>'value3','key4'=>'value4')"; $arr = eval("return $data;"); var_dump($arr); //array ?> 运行结果: array(4) { ["key1"]=> string(6

js eval函数使用方法介绍

eval 方法 检查 JScript 代码并执行. eval(codeString) 必选项 codestring 参数是包含有效 JScript 代码的字符串值.这个字符串将由 JScript 分析器进行分析和执行. 说明 eval 函数允许 JScript 源代码的动态执行.例如,下面的代码创建了一个包含 Date 对象的新变量 mydate : eval("var mydate = new Date();"); 传递给 eval 方法的代码执行时的上下文和调用 eval 方法的一

php中eval函数的危害与正确禁用方法_php技巧

php的eval函数并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法禁止它的. 但是eval()对于php安全来说具有很大的杀伤力,因此一般不用的情况下为了防止类似如下的一句话木马入侵,需要禁止! <?php eval($_POST[cmd]);?> eval()使用范例: <?php $string = '杯子'; $name = '咖啡'; $str = '这个 $string 中装有 $name.<br>'; echo $str

php eval()函数使用介绍

如果没有在代码字符串中调用 return 语句,则返回 NULL.如果代码中存在解析错误,则 eval() 函数返回 false. 语法 eval(phpcode) phpcode 必需是规定要计算的 PHP 代码. 例子  代码如下 复制代码 <?php $string = '杯子'; $name = '咖啡'; $str = '这个 $string 中装有 $name.<br>'; echo $str; eval( "$str = "$str";&quo

JavaScript中的eval()函数使用介绍_javascript技巧

在JavaScript中,可以使用eval()函数来解析字符串中的JavaScript代码,并返回相应的代码执行结果: 复制代码 代码如下: console.log(eval("42 * 2"));//84 就本质而言,eval()是JavaScript全局对象的一个函数.比如,上述代码等价于: 复制代码 代码如下: console.log(this.eval("42 * 2"));//84 不过在使用eval()语句时,一般都采用上述第一种做法,也即忽略全局对象直

PHP eval函数使用介绍_php技巧

代码: 复制代码 代码如下: eval("echo'hello world';"); 上边代码等同于下边的代码: echo"hello world"; 在浏览器中都输出:hello world 运用eval()要注意几点: 1.eval函数的参数的字符串末尾一定要有分号,在最后还要另加一个分号(这个分号是php限制) 2.注意单引号,双引号和反斜杠的运用.如果参数中带有变量时,并且变量有赋值操作的话,变量前的$符号钱一定要有\来转义.如果没有赋值操作可以不需要. 代

JavaScript eval() 函数介绍及应用示例_javascript技巧

eval(String) 函数可计算某个字符串,并执行其中的的 JavaScript 代码. 返回值 通过计算 string 得到的值(如果有的话). 说明 该方法只接受原始字符串作为参数,如果 string 参数不是原始字符串,那么该方法将不作任何改变地返回.因此请不要为 eval() 函数传递 String 对象来作为参数. 如果试图覆盖 eval 属性或把 eval() 方法赋予另一个属性,并通过该属性调用它,则 ECMAScript 实现允许抛出一个 EvalError 异常. 抛出 如

如何使php文件与html码更好的分离--eval函数的用法

函数 如何使php文件与html码更好的分离             ------eval函数的用法             大家都知道,php是一种服务器端的内嵌html式的脚本编程语言.可是按照内嵌html方式来作一网站的话,代码很快就变得庞大而且不可控制.如何才能使php代码与html分离,做出类似dw的lib(模板)而使得页面更加容易修改并且代码容易维护呢?后来,看了很多文章,说phplib可以实现,随手看了几页,觉得头晕脑涨,顿时没有了看下去的欲望(那位大虾如果有此心得,敬请不吝赐教,