[安全设置]suhosin有三个选项控制eval
代码测试
eval执行漏洞
//ex2.php
<?php
$var = "var";
if (isset($_GET["arg"]))
{
$arg = $_GET["arg"];
eval("$var = $arg;");
echo "$var =".$var;
}
?>
suhosin有三个选项控制eval
suhosin.executor.eval.whitelist 白名单
suhosin.executor.eval.blacklist 黑名单
suhosin.executor.disable_eval 禁用eval
很多程序需要eval,所以我们不能禁用,使用黑名单禁止一些危险的函数
编辑php.ini
[Suhosin]
suhosin.executor.eval.blacklist=phpinfo,fputs,fopen,fwrite
根据实际情况自行设定
