専用のCentOSサーバーにSuhosinをインストールしました。 centos6.7+php5.4.41+suhosin0.9.36Suhosinとeval機能を無効にする
私はSuhosinの無効化eval機能を有効にしたいと思います。私は文書を通じて、私は理解し何から行った は、最良のシナリオは、php.iniに以下を追加しました:
[suhosin]
suhosin.executor.eval.blacklist= phpinfo,passthru,exec,system,chroot,scandir,chgrp,chown
が、それはのphpinfo()、<?php eval(phpinfo());?>を実行するからevalを防ぐことはできません。
本当に誰かが私の間違いを指摘してくれることを願っています。
この例では、phpinfo()を実行して出力を評価しようとしています。ご使用の構成を考えると、次の例では、suhosinによってブロックされます。
eval("phpinfo();");
該当する場合は、ブラックリストとは対照的に、ホワイトリストを使用することを検討してください。セキュリティの観点からは、すべての悪い機能を推測するのではなく、限られた数の機能を許可することが常にベストです。
また、eval自体は関数ではなく、disable_functionsやfriendsによってブロックされないことに注意してください。 Suhosinはその目的でsuhosin.executor.disable_evalを提供します。
php.iniファイルを開き、disable_functionsを探します。無効にする機能を登録/登録します。例:disable_functions=passthru,exec,system,popen,eval
私は評価関数を無効にしたい、機能を無効にしないでください – jf2000
ありがとう! – jf2000