一聚教程网：一个值得你收藏的教程网站

ps教程| flash教程| 路由器设置| Jsp教程| 加入收藏

首页游戏下载软件下载专题资讯教程 php教程 asp.net教程 css教程网页制作网页特效手机开发办公数码

+ -

当前位置：一聚教程网 > php教程 > php安全

推荐专题

最新下载

1

深渊派对正式版
70.23MB 类型： 动作冒险
2

森林的召唤版
46 MB 类型： 动作冒险
3

命运之谜2
91.4MB 类型： 角色扮演
4

桥梁建设者游戏下载
95.7M 类型： 休闲益智
5

疯狂打砖块最新版
17.14MB 类型： 休闲益智
6

监狱帝国大亨游戏下载
192.1M 类型： 休闲益智
7

机器人速度英雄城市
56.59MB 类型： 动作冒险
8

我和我的天宫（手机版）
5.8MB 类型： 角色扮演
9

假面骑士W变身模拟器（正式版）
70.48MB 类型： 休闲益智
10

碧蓝航线反和谐2021安装包
1.94GB 类型： 角色扮演

热门教程

1

影之刃满签额外奖励怎么领取
时间：2024-04-27 类型： 游戏攻略
2

影之刃万剑归宗残页怎么弄
时间：2024-04-27 类型： 游戏攻略
3

忘仙宝宝怎么卡变
时间：2024-04-27 类型： 游戏攻略
4

斗罗大陆手游幽冥灵猫怎么选
时间：2024-04-27 类型： 游戏攻略
5

永劫无间守护者怎么完成
时间：2024-04-27 类型： 游戏攻略
6

攻城掠地怎么洗练套装
时间：2024-04-27 类型： 游戏攻略
7

少年三国志怎么上竞拍
时间：2024-04-26 类型： 游戏攻略
8

星际战甲怎么换初始角色
时间：2024-04-26 类型： 游戏攻略
9

光遇怎么用矮人面具进入千鸟城
时间：2024-04-26 类型： 游戏攻略
10

帝王三国2如何赚钱
时间：2024-04-26 类型： 游戏攻略

php正确禁用eval函数与误区介绍

时间：2022-06-24 15:50:23 编辑：袖梨来源：一聚教程网

eval()针对php安全来说具有很大的杀伤力一般不用的情况下为了防止

代码如下	复制代码

使用范例

代码如下	复制代码
$string = '杯子'; $name = '咖啡'; $str = '这个 $string 中装有 $name. '; echo $str; eval( "$str = "$str";" ); echo $str; ?>

本例的传回值为
这个 $string 中装有 $name.
这个杯子中装有咖啡.

或更高级点的是

代码如下	复制代码
$str="hello world"; //比如这个是元算结果 $code= "print('n$strn');";//这个是保存在数据库内的php代码 echo($code);//打印组合后的命令,str字符串被替代了,形成一个完整的php命令,但并是不会执行 eval($code);//执行了这条命令 ?>;

你上面的咖啡的例子了,在eval里面，首先字符串被替换了，其次替换完后形成一个完整的赋值命令被执行了.

这样的小马砸门需要禁止掉的

网上好多说使用disable_functions禁止掉eval 是错误的
其实eval() 是无法用php.ini中的disable_functions禁止掉的 because eval() is a language construct and not a function

eval是zend的不是PHP_FUNCTION 函数；

php怎么禁止eval:

如果想禁掉eval 可以用 php的扩展 Suhosin

安装Suhosin后在

php.ini 中load进来Suhosin.so 加上suhosin.executor.disable_eval = on即可

总结,php eval函数在php中是无法禁用的我们也只有使用插件了

相关文章

热门栏目