Eval() в PHP не является функцией. Как быть?

Question

[AntonioK]

В PHP eval() не является функцией: «Because this is a language construct and not a function, it cannot be called using variable functions» (ссылка).


Опция disable_functions в php.ini на eval() не влияет.


Как запретить использование eval(), не прибегая к safe mode?

Comments

[AFoST]

С какой целью необходимо запретить eval()?

[AntonioK]

eval() — потенциальная дырка в безопасности. Всегда советуют запрещать system(), exec() и прочее через директиву disable_functions в php.ini, и перечисляют в этом списке eval() через запятую — таких статей в интернетах куча. Получается, мало кто знает, что запрет eval() с помощью disable_functions невозможен.

[gro]

Кто советует? Где советует? Советуют ещё все данные пропускать через stripshalshes(addslashes(striptag)) вне зависимости от специфики.

[pentarh]

Я советую. При чем не только для Wordpress, а вообще для софта, который не требует вызовов shell функций. А это 95% +. Отключенные экзеки в основном никак не влияют на работу большинства web софта и в то же время делают практически бесполезными arbitrary code execution уязвимости.

[AntonioK]

Моя проблема была решена с помощью SUHOSIN, только вот не suhosin-patch — он только логи писать умеет, а suhosin-extension. Если говорить о FreeBSD, то собирается он из отдельного порта php-suhosin. Собирать же PHP с опцией suhosin-patch бесполезно, suhosin.executor.disable_eval в этом случае не работает.

Спасибо всем!

Answer 1

[Kane]

Возможно, это вам поможет www.hardened-php.net/suhosin/configuration.html#suhosin.executor.disable_eval

Answer 2

[YourChief]

может просто поставить suhosin-patch, который его запрещает и делает другие полезные вещи?

Comments

[YourChief]

строка для php.ini:
suhosin.executor.func.blacklist = "show_source,shell_exec,passthru,exec,popen,allow_url_fopen,system"

[YourChief]

и наконец suhosin.executor.disable_eval = On

Answer 3

[AFoST]

помимо eval еще есть куча других способов выполнить php код.

например:
1. $newfunc = create_function('', '};phpinfo();//');
2. preg_replace с модификатором /e
3. обратные ковычки: `ls -lia`
4. и куча других фишек...

Comments

[AFoST]

Я бы сконцентрировался на проверке и фильтрации переменных, попадающих в php-скрипт. Не только post и get но и тех, которые приходят в header http запроса.
ps Php оч дырявый…

[DevMan]

ps Php оч дырявый…

новый холиварчик затеваете?

[AFoST]

Честно говоря, и не думал.

[pentarh]

Обратные кавычки при отключенном шелл экзеке не пашут. Остальное надо проверить.

[AFoST]

вот это проверь еще
assert('phpinfo();');

Answer 4

[Gibbzy]

правильный ответ — никогда не использовать eval.
В большинстве случаев подходит это
php.net/manual/en/function.call-user-func.php

Если вам никак нельзя обойтись без eval() то что то в вашем коде не так.

Comments

[vanxant]

Откуда вы знаете, может у человека что-то типа хостинга или тестовой платформы для студентов.
И ему нужно просто прикрыть потенциальные дыры.

[Gibbzy]

ну исключения конечно всегда есть