在PHP中���,eval() 確實(shí)是一個(gè)及其危險(xiǎn)的函數(shù)。它允許將字符串作為PHP代碼執(zhí)行���,這是其獨(dú)特且強(qiáng)大的功能��。對(duì)于php安全來(lái)說(shuō)具有很大的殺傷力�,給系統(tǒng)帶來(lái)了嚴(yán)重的安全風(fēng)險(xiǎn)。很多PHP木馬就使用了這個(gè)函數(shù)����,因此需要禁用eval
由于eval() 是PHP語(yǔ)言的一個(gè)內(nèi)置函數(shù)(不是系統(tǒng)組件函數(shù)),它是PHP語(yǔ)言的核心部分���。由于它是PHP語(yǔ)言的一部分�,因此無(wú)法簡(jiǎn)單配置php.ini的disable_functions=eval來(lái)禁止它�����。
可以通過(guò)第三方免費(fèi)開(kāi)源組件PHP_dis_extension來(lái)禁止它���,步驟如下:
1�、下載PHP_dis_extension并上傳到服務(wù)器
下載地址 : v0.1版(適合PHP5-PHP7) v0.2版(適合PHP8)
PHP5-PHP7使用0.1版�����,PHP8使用0.2版本
下載壓縮包到/usr/src目錄���,并解壓:
unzip PHP_dis_extension-master.zip
2�����、編譯并安裝
cd /usr/src/PHP_dis_extension-master/source
phpize
./configure --with-php-config=/www/server/php/83/bin/php-config
make && make install
注意:/www/server/php/83/bin/php-config為你實(shí)際php的路徑�,這里是PHP8.3
使用命令whereis phpize可以獲取取當(dāng)前php路徑
編譯成功后��,擴(kuò)展就會(huì)放在在上圖紅框的路徑里
3���、修改php.ini配置
配置php.ini�����,在里面加上
extension = diseval.so
加上后�,重啟php服務(wù):service php-fpm restart
4���、驗(yàn)證配置是否成功
phpinfo()輸出����,可以看到組件diseval已啟用����,表示配置成功
創(chuàng)建一個(gè)測(cè)試test.php文件,寫入代碼:
eval("echo date('Y-m-d H:i:s');"); //輸出當(dāng)前時(shí)間
在瀏覽器打開(kāi)test.php��,執(zhí)行后,如果提示以下信息表示已經(jīng)成功禁止了函數(shù)��,如果輸出了當(dāng)前時(shí)間表示配置失敗
Fatal error: DIS - Use of eval is forbidden in /www/wwwroot/test1.cn/index.php(4) : eval()'d code on line 1
