php怎樣才能禁止有安全隱患的eval

之前網站收到駭客攻擊，我們才知道php的eval函數有很大的安全隱患。今天我們就來介紹一下禁止eval的方法，有需要的可以參考參考。

前段時間，網站遭受了駭客的入侵，後來在排查中發現了一個php，裡面的內容只有很少：

#

<?php eval($_POST[asda123131323156341]);?>

然後網路上搜尋一下php的eval函數，發現這個eval函數帶有很大的安全隱患。

本地測試一下，在本機環境寫一個php，內容如下：

default.php：

<?php eval($_GET[asda]);?>

然後造訪：localhost/test/default.php?asda =phpinfo();

就可以看到已經把phpinfo給執行了。

或是存取localhost/test/default.php?asda = echo 11111；同樣也會發現1111被echo出來了。

類似的手段還有：

<?php $code="${${eval($_GET[c])}}";?>

訪問localhost/test/default.php?c=phpinfo();即可看到

<?php
$code=addslashes($_GET[c]);
eval(""$code""); 
?>

訪問localhost/test/ default.php?c= ${${phpinfo()}};即可看到

利用可以執行php的eval函數，駭客可以用這個來上傳一些後台木馬，比如說上傳php，然後透過url存取這個php來獲得更大的權限。這種稱為一句話木馬的入侵。比如說：寫一個html，內容如下：

<html> 
<body> 
<form action="default.php" method="post"> 
<input type="text" name="c" value="phpinfo();"> 
<input type="submit" value="submit"> 
</form> 
</body> 
</html>

然後寫一個default.php，內容為：>

<?php eval($_POST[c]);?>

這樣的話，想執行什麼php就可以直接提交運行即可。

所以： eval()對於php安全來說具有很大的殺傷力，eval函數減弱了你的應用的安全性,因此一般不用的情況下為了防止類似如下的一句話木馬入侵，需要禁止！

然而網路上很多說使用disable_functions禁止掉eval的方法都是錯的！

其實eval()是無法用php.ini中的disable_functions禁止掉的：

because eval() is a language construct and not a function

eval是zend的，因此不是PHP_FUNCTION 函數;

那麼php怎麼禁止eval呢？

如果想禁掉eval可以用php的擴充 Suhosin：

安裝Suhosin後在php.ini中load進來Suhosin.so，再加上suhosin.executor.disable_eval = on即可！

總結,php的eval函數在php中是無法停用的，因此我們也只有使用外掛了！

至於安裝suhosin來禁止eval函數的步驟為：（未測試）

#說明：

php安裝目錄：/usr/local/php5

#php.ini設定檔路徑：/usr/local/php5/etc/php.ini

Nginx安裝目錄：/usr/local/nginx

Nginx網站根目錄：/usr/ local/nginx/html

1、安裝編譯工具 

yum install wget  make gcc gcc-c++ zlib-devel openssl openssl-devel pcre-devel kernel keyutils  patch perl

2、安裝suhosin

cd /usr/local/src   #进入软件包存放目录
wget  http://download.suhosin.org/suhosin-0.9.33.tgz    #下载
tar zxvf suhosin-0.9.33.tgz   #解压
cd suhosin-0.9.33   #进入安装目录
/usr/local/php5/bin/phpize   #用phpize生成configure配置文件
./configure  --with-php-config=/usr/local/php5/bin/php-config   #配置
make   #编译
make install   #安装
安装完成之后，出现下面的界面，记住以下路径，后面会用到。
Installing shared extensions: /usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/   #suhosin模块路径

3、設定php支援suhosin 

vi /usr/local/php5/etc/php.ini  
 #编辑配置文件，在最后一行添加以下内容 
extension=/usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/suhosin.so
suhosin.executor.disable_eval = on

注意：suhosin .executor.disable_eval = on 的功能是停用eval函數

4、測試

vi /usr/local/nginx/html/phpinfo.php    #編輯

#

<?php
phpinfo();
?>

: wq!  #儲存退出

service php-fpm restart   #重啟php-fpm 

service nginx restart   #重啟nginx

注意：如果是apache的話也是一樣的，重啟apache即可。

瀏覽器開啟phpinfo.php 如下圖所示，可以看到suhosin相關資訊

 至此，Linux下php安裝suhosin安裝完成！

注意：禁用了 eval後，會有啥後果呢？首先是程式碼裡使用eval 的軟體將無法使用例如大名鼎鼎的Discuz! 論壇和PHPWind論壇將無法正常使用，也影響到phpMyAdmin的舊版本，如果更新到目前最新的3.2.5，就可以使用，只是預設有個警告的提示，在config.inc.php 中加上$cfg['SuhosinDisableWarning']=true; 

就可以取消這個警告了。

注意：除了eval之外，還有assert也是類似的用法。

推薦學習：php影片教學

以上是php怎樣才能禁止有安全隱患的eval的詳細內容。更多資訊請關注PHP中文網其他相關文章！