如何禁用危险的评估功能?可以使用ini_set函数完成吗?
另外如何禁用以下功能?我们可以使用ini_set函数禁用它们吗?
allow_url_fopen
allow_url_include
exec
shell_exec
system
passthru
popen
stream_select
eval是坏人可以用来利用这些东西的最危险的功能之一.应该有一种机制来禁用它而不诉诸php.ini文件; 但是应该以编程方式完成.
嗯,伙计们,我正在寻找一个答案,建议禁用这些危险的可爱的伙伴,而不去php.ini文件; 我是指如何在运行时或以编程方式禁用它们?
提前致谢....
更新
有没有人听说过PHP Shell Offender Script?它主要使用eval函数进行利用.黑客能够在您的网站上运行他们的PHP代码.
我的问题是我不想完全禁用php.ini文件中的eval函数.例如,我开发了自己的MVC框架.现在框架用户可以从框架配置文件中指定是否应禁用eval(和其他)功能.所以这留给了框架用户的选择.一旦他们指定禁用它; 我应该能够以编程方式禁用eval函数.
这就是场景.寻找有用的答案/解决方案.
再次感谢.