PHP5与PHP7中禁用eval函数的方法与安全考量

原文地址:https://blog.lmzg.org/2018/PHP_disable_eval.html

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

在PHP安全加固的讨论中，eval函数常常是焦点。这里有个关键点需要明确：eval是一个语言构造器而非普通函数，这意味着常规的disable_functions指令对它无效。这也就是为什么我们需要寻找其他途径来限制它。

市面上不少教程会提到使用suhosin扩展来禁用eval，这个方法在PHP5时代确实可行，但遗憾的是一般不适用于PHP7。当然，如果你执意尝试，可以寻找suhosin针对7.x版本的开发分支，但那意味着你需要面对潜在的稳定性风险。

如果你想了解传统的suhosin方法，可以参考这篇题为《LINUX服务器安全设置：禁止php的eval函数》的文章。而我们接下来要探讨的，是一个更通用、专门为禁用eval而生的扩展方案。

安装PHP开发包

第一步是安装PHP开发包，这为我们后续编译扩展提供必要环境。不同系统，命令略有不同。

对于Ubuntu或Debian系统，请注意区分你的PHP主版本：

# PHP5
sudo apt-get install php-dev
# PHP7
sudo apt-get install php7.0-dev

对于RedHat、CentOS或Fedora系统，命令则统一为：

yum install php-devel

下载PHP_diseval_extension

我们需要的主角是“PHP_diseval_extension”，这个扩展项目托管在GitHub上，地址是：PHP_diseval_extension。

登录你的服务器，执行以下命令进行下载：

cd /tmp
git clone https://github.com/mk-j/PHP_diseval_extension.git

编译安装

下载完成后，进入源码目录，开始标准的编译安装流程：

cd /tmp/PHP_diseval_extension/source
phpize
./configure
make
sudo make install

如果编译过程顺利，你通常会看到类似下面的输出，这指明了扩展模块被安装到的具体目录：

Installing shared extensions: /usr/lib/php/20151012/

这个路径信息很重要，它确认了扩展已成功编译到系统。

启用扩展

扩展编译好了，接下来就是让它生效。这里提供两种常见的启用方式。

方法1：直接修改php.ini
这是最直接的方法。编辑你的php.ini配置文件，在任意位置添加一行：

extension=diseval.so

方法2：使用mods-a vailable目录（适用于Debian/Ubuntu系）
这种方式更便于管理多个PHP版本或SAPI。首先，在mods-a vailable目录下为扩展创建一个配置文件（注意，实际路径可能因PHP版本和安装方式而异）：

vim /etc/php/7.0/mods-a vailable/diseval.ini

在该文件中写入同样内容：

extension=diseval.so

输入:wq保存并退出编辑器。

然后，创建一个软链接到PHP-FPM（或其他你使用的SAPI，如CLI）的配置目录，以启用该扩展：

ln -s /etc/php/7.0/mods-a vailable/diseval.ini /etc/php/7.0/fpm/conf.d/

无论采用哪种方法，最后一步都是重启PHP服务，使配置生效。对于使用PHP-FPM的情况，命令如下：

service php7.0-fpm restart

完成以上步骤后，eval函数就应该在相应的PHP环境中被成功禁用了。不妨用个简单的PHP脚本测试一下，看看是否还会执行。