php禁用eval

㈠ eval()的php

Eval函數在PHP代碼中的使用：eval() 函數把字元串按照 PHP 代碼來計算。該字元串必須是合法的 PHP 代碼，且必須以分號結尾。如果沒有在代碼字元串中調用 return 語句，則返回 NULL。如果代碼中存在解析錯誤，則 eval() 函數返回 false。實例如圖所示。
實例：
$string = "beautifual";
$time = "winter";
$str =' This is a $string $time morning!'
echo $str. "<br />";
eval("$str = "$str";");
echo $str;

㈡ dede:php無法執行，在線等急。

您要確認，您是否認真仔細地完成了如下二步：

第一步：網站後台——系統——系統基本參數——其他選項——模板引擎禁用標簽：刪除其中的「php」。

做完這一步，問題一般得到解決。如果未解決，則執行第二步。

第二步：在sql命令行中依次執行如下命令。一般用phpmyadmin中的mysql命令比較方便。

INSERTINTO`dede_sysconfig`(`varname`,`info`,`groupid`,`type`,`value`)VALUES('cfg_disable_funs','模板引擎禁用PHP函數',7,'bstring','phpinfo,eval,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,file_put_contents');

注意：SQL命令行中復制我上面打的，不要復制其他的，因為有些網頁排版可能有問題。更不能自己對著屏幕打，因為單引號有兩種，容易弄混。

當然，還有一種可能，就是您反復執行了命令多次。直接進phpmyadmin中，查看dede_sysconfig數據，刪除不必要的就好。

㈢ 帝國CMS網站被掛馬，所有PHP文件均被加上eval(base64_decode代碼，求高手分析。

網站被黑的因素分2中 一中是由於伺服器空間商的安全 導致被牽連
一種是網站程序的安全自身的程序安全漏洞被黑被入侵被掛馬。
有條件的話可以找專業做安全的去看看. 公司的話可以去Sine安全看看聽朋友說不錯。

一般都是網站程序存在漏洞或者伺服器存在漏洞而被攻擊了
網站掛馬是每個網站最頭痛的問題，解決辦法：1.在程序中很容易找到掛馬的代碼，直接刪除，或則將你沒有傳伺服器的源程序覆蓋一次但反反復復被掛就得深入解決掉此問題了。但這不是最好的解決辦法。最好的方法還是找專業做安全的來幫你解決掉
聽朋友說 SineSafe 不錯 你可以去看看。

清馬+修補漏洞=徹底解決
所謂的掛馬，就是黑客通過各種手段，包括SQL注入，網站敏感文件掃描，伺服器漏洞，網站程序0day, 等各種方法獲得網站管理員賬號，然後登陸網站後台，通過資料庫 備份/恢復 或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網站頁面的內容，向頁面中加入惡意轉向代碼。也可以直接通過弱口令獲得伺服器或者網站FTP，然後直接對網站頁面直接進行修改。當你訪問被加入惡意代碼的頁面時，你就會自動的訪問被轉向的地址或者下載木馬病毒
清馬
1、找掛馬的標簽，比如有<script language="javascript" src="網馬地址"></script>或<iframe width=420 height=330 frameborder=0scrolling=auto src=網馬地址></iframe>，或者是你用360或病殺毒軟體攔截了網馬網址。SQL資料庫被掛馬，一般是JS掛馬。
2、找到了惡意代碼後，接下來就是清馬，如果是網頁被掛馬，可以用手動清，也可以用批量清，網頁清馬比較簡單，這里就不詳細講，現在著重講一下SQL資料庫清馬，用這一句語句「update 表名 set 欄位名=replace(欄位名,'aaa','')」， 解釋一下這一句子的意思：把欄位名里的內容包含aaa的替換成空，這樣子就可以一個表一個表的批量刪除網馬。
在你的網站程序或資料庫沒有備份情況下，可以實行以上兩步驟進行清馬，如果你的網站程序有備份的話，直接覆蓋原來的文件即可。
修補漏洞（修補網站漏洞也就是做一下網站安全。）
1、修改網站後台的用戶名和密碼及後台的默認路徑。
2、更改資料庫名,如果是ACCESS資料庫，那文件的擴展名最好不要用mdb，改成ASP的，文件名也可以多幾個特殊符號。
3、接著檢查一下網站有沒有注入漏洞或跨站漏洞，如果有的話就相當打上防注入或防跨站補丁。
4、檢查一下網站的上傳文件，常見了有欺騙上傳漏洞，就對相應的代碼進行過濾。
5、盡可能不要暴露網站的後台地址，以免被社會工程學猜解出管理用戶和密碼。
6、寫入一些防掛馬代碼，讓框架代碼等掛馬無效。
7、禁用FSO許可權也是一種比較絕的方法。
8、修改網站部分文件夾的讀寫許可權。
9、如果你是自己的伺服器，那就不僅要對你的網站程序做一下安全了，而且要對你的伺服器做一下安全也是很有必要了！
網站被掛馬是普遍存在現象然而也是每一個網站運營者的心腹之患。
您是否因為網站和伺服器天天被入侵掛馬等問題也曾有過想放棄的想法呢，您否也因為不太了解網站技術的問題而耽誤了網站的運營，您是否也因為精心運營的網站反反復復被一些無聊的黑客入侵掛馬感到徬彷且很無耐。有條件建議找專業做網站安全的sine安全來做安全維護。

㈣ thinkphp 怎麼預防 eval

eval是zend的 不是PHP_FUNCTION 函數；
php怎麼禁止eval:
如果想禁掉eval 可以用 php的擴展 Suhosin
安裝Suhosin後在
php.ini 中load進來Suhosin.so 加上suhosin.executor.disable_eval = on即可

㈤ php中的eval 問題

<?php
header('Content-Type:text/html;charset:GBk');
$id = 1;
$spacer = '├─';
$name = '分類一';
$str = 『<a href=$id>$spacer$name</a><br />』;
eval("\$str = \"$str\";");
echo $str;
?>
幫你改了下

㈥ 一些需要禁用的PHP危險函數(disable_functions)

phpinfo()
功能描述：輸出
PHP
環境信息以及相關的模塊、WEB
環境等信息。
危險等級：中
passthru()
功能描述：允許執行一個外部程序並回顯輸出，類似於
exec()。
危險等級：高
exec()
功能描述：允許執行一個外部程序（如
UNIX
Shell
或
CMD
命令等）。
危險等級：高
system()
功能描述：允許執行一個外部程序並回顯輸出，類似於
passthru()。
危險等級：高
chroot()
功能描述：可改變當前
PHP
進程的工作根目錄，僅當系統支持
CLI
模式
PHP
時才能工作，且該函數不適用於
Windows
系統。
危險等級：高
scandir()
功能描述：列出指定路徑中的文件和目錄。
危險等級：中
chgrp()
功能描述：改變文件或目錄所屬的用戶組。
危險等級：高
chown()
功能描述：改變文件或目錄的所有者。
危險等級：高
shell_exec()
功能描述：通過
Shell
執行命令，並將執行結果作為字元串返回。
危險等級：高
proc_open()
功能描述：執行一個命令並打開文件指針用於讀取以及寫入。
危險等級：高
proc_get_status()
功能描述：獲取使用
proc_open()
所打開進程的信息。
危險等級：高
error_log()
功能描述：將錯誤信息發送到指定位置（文件）。
安全備註：在某些版本的
PHP
中，可使用
error_log()
繞過
PHP
safe
mode，
執行任意命令。
危險等級：低
ini_alter()
功能描述：是
ini_set()
函數的一個別名函數，功能與
ini_set()
相同。
具體參見
ini_set()。
危險等級：高
ini_set()
功能描述：可用於修改、設置
PHP
環境配置參數。
危險等級：高
ini_restore()
功能描述：可用於恢復
PHP
環境配置參數到其初始值。
危險等級：高
dl()
功能描述：在
PHP
進行運行過程當中（而非啟動時）載入一個
PHP
外部模塊。
危險等級：高
pfsockopen()
功能描述：建立一個
Internet
或
UNIX
域的
socket
持久連接。
危險等級：高
syslog()
功能描述：可調用
UNIX
系統的系統層
syslog()
函數。
危險等級：中
readlink()
功能描述：返回符號連接指向的目標文件內容。
危險等級：中
symlink()
功能描述：在
UNIX
系統中建立一個符號鏈接。
危險等級：高
popen()
功能描述：可通過
popen()
的參數傳遞一條命令，並對
popen()
所打開的文件進行執行。
危險等級：高
stream_socket_server()
功能描述：建立一個
Internet
或
UNIX
伺服器連接。
危險等級：中
putenv()
功能描述：用於在
PHP
運行時改變系統字元集環境。在低於
5.2.6
版本的
PHP
中，可利用該函數
修改系統字元集環境後，利用
sendmail
指令發送特殊參數執行系統
SHELL
命令。
危險等級：高
禁用方法如下：
打開/etc/php.ini文件，
查找到
disable_functions
，添加需禁用的函數名，如下：
phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen

㈦ 請問如果我禁止php執行eval會影響到JavaScript的eval()嘛

不會影響，PHP是伺服器端執行的代碼，js是客戶端執行的代碼，兩者之間沒有直接聯系的

㈧ PHP用eval時候如果eval的參數有語法錯誤 我想反回個FALSE 怎麼去判斷。

手冊上的，定義和用法

eval() 函數把字元串按照 PHP 代碼來計算。

該字元串必須是合法的 PHP 代碼，且必須以分號結尾。

如果沒有在代碼字元串中調用 return 語句，則返回 NULL。如果代碼中存在解析錯誤，則 eval() 函數返回 false。

判斷的時候就
if(eval(字元串)) {

} else {
false
}