游乐游手机版
首页/编程语言/文章详情

PHP5与PHP7中禁用eval函数的方法与安全考量

时间:2026-05-07 10:06
原文地址:https: blog lmzg org 2018 PHP_disable_eval html 在PHP安全加固的讨论中,eval函数常常是焦点。这里有个关键点需要明确:eval是一个语言构造器而非普通函数,这意味着常规的disable_functions指令对它无效。这也就是为什么我们

原文地址:https://blog.lmzg.org/2018/PHP_disable_eval.html

在PHP安全加固的讨论中,eval函数常常是焦点。这里有个关键点需要明确:eval是一个语言构造器而非普通函数,这意味着常规的disable_functions指令对它无效。这也就是为什么我们需要寻找其他途径来限制它。

市面上不少教程会提到使用suhosin扩展来禁用eval,这个方法在PHP5时代确实可行,但遗憾的是一般不适用于PHP7。当然,如果你执意尝试,可以寻找suhosin针对7.x版本的开发分支,但那意味着你需要面对潜在的稳定性风险。

如果你想了解传统的suhosin方法,可以参考这篇题为《LINUX服务器安全设置:禁止php的eval函数》的文章。而我们接下来要探讨的,是一个更通用、专门为禁用eval而生的扩展方案。

安装PHP开发包

第一步是安装PHP开发包,这为我们后续编译扩展提供必要环境。不同系统,命令略有不同。

对于Ubuntu或Debian系统,请注意区分你的PHP主版本:

# PHP5
sudo apt-get install php-dev
# PHP7
sudo apt-get install php7.0-dev

对于RedHat、CentOS或Fedora系统,命令则统一为:

yum install php-devel

下载PHP_diseval_extension

我们需要的主角是“PHP_diseval_extension”,这个扩展项目托管在GitHub上,地址是:PHP_diseval_extension

登录你的服务器,执行以下命令进行下载:

cd /tmp
git clone https://github.com/mk-j/PHP_diseval_extension.git

编译安装

下载完成后,进入源码目录,开始标准的编译安装流程:

cd /tmp/PHP_diseval_extension/source
phpize
./configure
make
sudo make install

如果编译过程顺利,你通常会看到类似下面的输出,这指明了扩展模块被安装到的具体目录:

Installing shared extensions: /usr/lib/php/20151012/

这个路径信息很重要,它确认了扩展已成功编译到系统。

启用扩展

扩展编译好了,接下来就是让它生效。这里提供两种常见的启用方式。

方法1:直接修改php.ini
这是最直接的方法。编辑你的php.ini配置文件,在任意位置添加一行:

extension=diseval.so

方法2:使用mods-a vailable目录(适用于Debian/Ubuntu系)
这种方式更便于管理多个PHP版本或SAPI。首先,在mods-a vailable目录下为扩展创建一个配置文件(注意,实际路径可能因PHP版本和安装方式而异):

vim /etc/php/7.0/mods-a vailable/diseval.ini

在该文件中写入同样内容:

extension=diseval.so

输入:wq保存并退出编辑器。

然后,创建一个软链接到PHP-FPM(或其他你使用的SAPI,如CLI)的配置目录,以启用该扩展:

ln -s /etc/php/7.0/mods-a vailable/diseval.ini /etc/php/7.0/fpm/conf.d/

无论采用哪种方法,最后一步都是重启PHP服务,使配置生效。对于使用PHP-FPM的情况,命令如下:

service php7.0-fpm restart

完成以上步骤后,eval函数就应该在相应的PHP环境中被成功禁用了。不妨用个简单的PHP脚本测试一下,看看是否还会执行。

来源:https://blog.csdn.net/hbh112233abc/article/details/86673974
上一篇PHP7与PHP5安装教程及版本选择指南 下一篇如何正确关闭进程并重启PHP-FPM服务
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
深入解析 TransactionProxyFactoryBean 功能实现与实战案例
编程语言 · 2026-07-02

深入解析 TransactionProxyFactoryBean 功能实现与实战案例

本文通过一个订单处理系统的实际案例,探讨了Spring框架中TransactionProxyFactoryBean的功能实现。文章分析了其如何通过代理模式为普通JavaBean添加声明式事务管理能力,详细阐述了其配置方式、内部工作机制,包括如何创建AOP代理以及如何与PlatformTransactionManager协作。最后,通过对比现代基于注解的事务管

TransactionProxyFactoryBean 在 Java 编程中的应用与配置详解
编程语言 · 2026-07-02

TransactionProxyFactoryBean 在 Java 编程中的应用与配置详解

本文探讨了TransactionProxyFactoryBean在Spring框架中的应用,重点解析其作为声明式事务管理核心组件的工作原理。文章阐述了该工厂Bean如何通过AOP代理机制为目标对象自动添加事务边界,详细说明了其关键配置属性如事务管理器、事务属性及目标对象的设置方法,并分析了其内部代理创建流程。最后,讨论了其优势与在现代Spring应用中的演进

WebService实战案例详解与应用场景解析
编程语言 · 2026-07-02

WebService实战案例详解与应用场景解析

本文通过一个具体的订单查询案例,深入解析WebService的核心概念与实战应用。内容涵盖WebService的基本原理、使用Java和CXF框架构建服务端与客户端的完整步骤,以及XML数据绑定、服务发布与调用等关键技术细节。旨在为开发者提供清晰、实用的WebService开发指导,帮助理解其在实际项目中的集成与通信机制。

HttpClient与其他HTTP库性能功能对比分析
编程语言 · 2026-07-02

HttpClient与其他HTTP库性能功能对比分析

在Java开发中,处理HTTP请求有多种库可选,其中ApacheHttpClient以其成熟稳定著称。本文对比分析了HttpClient与其他主流HTTP库(如JDK原生HttpURLConnection、OkHttp、SpringRestTemplate及Retrofit)在功能特性、性能表现、易用性及适用场景上的差异,旨在帮助开发者根据项目需求,如对连接

MemSQL数据库实战应用案例深度解析
编程语言 · 2026-07-02

MemSQL数据库实战应用案例深度解析

本文探讨了MemSQL在实时分析场景中的实战应用。通过剖析一个典型的电商实时用户行为分析项目案例,阐述了MemSQL如何利用其混合事务 分析处理能力、内存优化与列式存储特性,高效处理高并发数据流与复杂查询。文章重点介绍了技术选型考量、架构设计、性能优化策略及实际效果,为面临类似实时数据处理挑战的项目提供参考。