[安全设置]suhosin有三个选项控制eval

Linux知识
0 48
csroad
csroad 举报
04月08日 18:30

[安全设置]suhosin有三个选项控制eval  

代码测试

eval执行漏洞

 //ex2.php

<?php

$var = "var";

if (isset($_GET["arg"]))

{

        $arg = $_GET["arg"];

        eval("$var = $arg;");

        echo "$var =".$var;

}

?>

suhosin有三个选项控制eval

 

suhosin.executor.eval.whitelist        白名单

suhosin.executor.eval.blacklist        黑名单

suhosin.executor.disable_eval        禁用eval

很多程序需要eval,所以我们不能禁用,使用黑名单禁止一些危险的函数

 编辑php.ini

[Suhosin]

suhosin.executor.eval.blacklist=phpinfo,fputs,fopen,fwrite

 根据实际情况自行设定