PHP禁止eval()


PHP #eval2012-04-26 17:16

eval()针对php安全来说具有很大的杀伤力 一般不用的情况下 为了防止<?php eval($_POST[cmd]);?> 这样的小马砸门 需要禁止掉的
 
网上好多说使用disable_functions禁止掉eval 是错误的

其实eval() 是无法用php.ini中的disable_functions禁止掉的  because eval() is a language construct and not a function
eval是zend的 不是PHP_FUNCTION 函数;

php怎么禁止eval 呢?


如果想禁掉eval 可以用 php的扩展 Suhosin

安装Suhosin后在
php.ini 中load进来Suhosin.so 加上suhosin.executor.disable_eval = on即可


Suhosin使用:
http://www.hardened-php.net/suhosin/index.html


相关文章

粤ICP备11097351号-1