原文地址:https://blog.lmzg.org/2018/PHP_disable_eval.html
在PHP安全加固的讨论中,eval函数常常是焦点。这里有个关键点需要明确:eval是一个语言构造器而非普通函数,这意味着常规的disable_functions指令对它无效。这也就是为什么我们需要寻找其他途径来限制它。
市面上不少教程会提到使用suhosin扩展来禁用eval,这个方法在PHP5时代确实可行,但遗憾的是一般不适用于PHP7。当然,如果你执意尝试,可以寻找suhosin针对7.x版本的开发分支,但那意味着你需要面对潜在的稳定性风险。
如果你想了解传统的suhosin方法,可以参考这篇题为《LINUX服务器安全设置:禁止php的eval函数》的文章。而我们接下来要探讨的,是一个更通用、专门为禁用eval而生的扩展方案。
安装PHP开发包
第一步是安装PHP开发包,这为我们后续编译扩展提供必要环境。不同系统,命令略有不同。
对于Ubuntu或Debian系统,请注意区分你的PHP主版本:
# PHP5 sudo apt-get install php-dev # PHP7 sudo apt-get install php7.0-dev
对于RedHat、CentOS或Fedora系统,命令则统一为:
yum install php-devel
下载PHP_diseval_extension
我们需要的主角是“PHP_diseval_extension”,这个扩展项目托管在GitHub上,地址是:PHP_diseval_extension。
登录你的服务器,执行以下命令进行下载:
cd /tmp git clone https://github.com/mk-j/PHP_diseval_extension.git
编译安装
下载完成后,进入源码目录,开始标准的编译安装流程:
cd /tmp/PHP_diseval_extension/source phpize ./configure make sudo make install
如果编译过程顺利,你通常会看到类似下面的输出,这指明了扩展模块被安装到的具体目录:
Installing shared extensions: /usr/lib/php/20151012/
这个路径信息很重要,它确认了扩展已成功编译到系统。
启用扩展
扩展编译好了,接下来就是让它生效。这里提供两种常见的启用方式。
方法1:直接修改php.ini
这是最直接的方法。编辑你的php.ini配置文件,在任意位置添加一行:
extension=diseval.so
方法2:使用mods-a vailable目录(适用于Debian/Ubuntu系)
这种方式更便于管理多个PHP版本或SAPI。首先,在mods-a vailable目录下为扩展创建一个配置文件(注意,实际路径可能因PHP版本和安装方式而异):
vim /etc/php/7.0/mods-a vailable/diseval.ini
在该文件中写入同样内容:
extension=diseval.so
输入:wq保存并退出编辑器。
然后,创建一个软链接到PHP-FPM(或其他你使用的SAPI,如CLI)的配置目录,以启用该扩展:
ln -s /etc/php/7.0/mods-a vailable/diseval.ini /etc/php/7.0/fpm/conf.d/
无论采用哪种方法,最后一步都是重启PHP服务,使配置生效。对于使用PHP-FPM的情况,命令如下:
service php7.0-fpm restart
完成以上步骤后,eval函数就应该在相应的PHP环境中被成功禁用了。不妨用个简单的PHP脚本测试一下,看看是否还会执行。
