PHP禁止eval()

eval()针对php安全来说具有很大的杀伤力 一般不用的情况下 为了防止<?php eval($_POST[cmd]);?> 这样的小马砸门 需要禁止掉的
 
网上好多说使用disable_functions禁止掉eval 是错误的

其实eval() 是无法用php.ini中的disable_functions禁止掉的  because eval() is a language construct and not a function
eval是zend的 不是PHP_FUNCTION 函数；

php怎么禁止eval 呢？

如果想禁掉eval 可以用 php的扩展 Suhosin

安装Suhosin后在
php.ini 中load进来Suhosin.so 加上suhosin.executor.disable_eval = on即可

Suhosin使用：
http://www.hardened-php.net/suhosin/index.html

相关文章

• php的攻击手法总结 2012/04/26
• PHP判断浏览器类型的代码 2012/04/26
• php优化42点建议 2012/04/25
• php常用到却易混淆的函数/概念 2012/04/25
• php.ini配置中文版详解 2012/04/24
• PHP防注入配置 2012/04/24
• PHP的socket函数用法 2012/04/22
• PHP用socket上传图片代码 2012/04/22
• PHP关于日/周/月点击统计代码 2012/04/22
• CentOS安装PHP cannot find -lltdl 错误的解决办法 2012/04/20