PHP禁用EVAL的误区

admin linux 2023-01-25 452浏览 0

eval()针对php安全来说具有很大的杀伤力一般不用的情况下为了防止<?php eval($_POST[cmd]);?> 这样的小马砸门需要禁止掉的
网上好多说使用disable_functions禁止掉eval 是错误的
其实eval() 是无法用php.ini中的disable_functions禁止掉的 because eval() is a language construct and not a function
eval是zend的不是PHP_FUNCTION 函数；

php怎么禁止eval:
如果想禁掉eval 可以用 php的扩展 Suhosin
安装Suhosin后在
php.ini 中load进来Suhosin.so 加上suhosin.executor.disable_eval = on即可

转载请注明：IT运维空间 » linux » PHP禁用EVAL的误区