Menggunakan eval () atau exec () dalam PHP memperkenalkan risiko keselamatan yang serius. Pertama, mereka boleh membawa kepada kelemahan pelaksanaan kod jauh (RCE), di mana penyerang boleh menyuntik kod berniat jahat melalui input yang tidak dipercayai dan berjalan terus pada pelayan; Kedua, sangat sukar untuk mengesahkan input, dan penyerang boleh menggunakan pengekodan, penghinaan dan cara lain untuk memintas mekanisme penapisan; Ketiga, fungsi ini membuat debug dan penyelenggaraan rumit, meningkatkan kesukaran penjejakan ralat dan mempengaruhi kebolehbacaan kod; Akhirnya, EXEC () boleh mendedahkan maklumat persekitaran pelayan, membawa risiko keselamatan tambahan. Fungsi -fungsi ini harus dielakkan, jika ia mesti digunakan, input mesti ditapis dengan ketat dan langkah -langkah keselamatan mesti diaktifkan.

Menggunakan eval() atau exec() dalam PHP boleh memperkenalkan risiko keselamatan yang serius jika tidak ditangani dengan teliti. Fungsi -fungsi ini pada dasarnya membolehkan anda melaksanakan kod sewenang -wenangnya, yang menjadikan mereka sasaran kegemaran untuk penyerang jika input pengguna terlibat.

Berikut adalah pecahan kebimbangan keselamatan utama dan mengapa anda perlu berfikir dua kali sebelum menggunakannya.

1. Kelemahan Pelaksanaan Kod Jauh (RCE)

Ini adalah risiko terbesar setakat ini. Jika anda lulus input pengguna yang tidak dipercayai ke dalam eval() atau exec() , penyerang boleh menyuntik kod berniat jahat yang berjalan terus pada pelayan anda.

Contohnya:

 $ code = $ _get ['code'];
eval ($ code);

Jika seseorang menghantar permintaan seperti ?code=system('rm -rf /'); , pelayan anda boleh dikompromikan - dengan mengandaikan pelayan web mempunyai keizinan untuk melakukan itu (yang kadang -kadang dilakukannya).

Walaupun dengan exec() , jika anda mengambil input dan lulus tanpa penapisan:

 exec ($ _ get ['cmd']);

Penyerang boleh menjalankan arahan sistem seperti cat /etc/passwd atau memulakan proses latar belakang untuk membuka shell.

Apa yang perlu dilakukan:

• Elakkan lulus apa -apa jenis input dinamik ke fungsi ini.
• Jika anda benar -benar memerlukan tingkah laku dinamik, gunakan senarai putih perintah atau ekspresi yang dibenarkan.
• Sanitize dan mengesahkan segala -galanya dengan ketat - walaupun begitu, ia berisiko.

2. Kesukaran untuk mengesahkan input

Sangat sukar untuk mengesahkan apa yang seseorang boleh masuk ke dalam eval() atau exec() . Penyerang pandai dan sering mencari jalan di sekitar penapis atau langkah sanitisasi.

Sebagai contoh, walaupun anda cuba menyekat kata kunci tertentu seperti system atau exec , terdapat helah pengekodan, kaedah obfuscation, dan panggilan fungsi alternatif yang boleh memintas cek asas.

Isu Biasa:

• Pengekodan muatan di Base64 atau hexadecimal.
• Menggunakan pembolehubah pembolehubah atau manipulasi rentetan untuk menyembunyikan kod berbahaya.
• Menghilangkan penapis Regex melalui sintaks alternatif.

Jadi, walaupun anda menulis rutin pengesahan, ia mungkin terlepas sesuatu yang halus - dan itu semua keperluan penyerang.

3. Debugging dan mimpi buruk penyelenggaraan

Di luar keselamatan, eval() dan exec() membuat debugging lebih keras. Oleh kerana kod yang dilaksanakan tidak diketahui sehingga runtime, menjejaki bug atau masalah prestasi menjadi lebih kompleks.

Selain itu, sesiapa yang mengekalkan kod itu kemudian akan mempunyai masa yang sukar untuk memahami apa yang sedang berlaku, terutamanya jika kod yang dinilai berasal dari sumber luaran atau dibina secara dinamik.

Impak dunia nyata:

• Lebih sukar untuk mengesan di mana kesilapan datang.
• Log mungkin tidak menunjukkan gambaran penuh.
• Pengimbas keselamatan membenderakan ini sebagai kawasan berisiko tinggi, menjadikan audit lebih rumit.

4. EXEC () boleh mendedahkan persekitaran pelayan

Walaupun anda berhati -hati dengan exec() , ia masih memberikan akses yang berpotensi kepada OS yang mendasari. Perkara seperti melaksanakan arahan shell, membaca fail, atau proses permulaan boleh mendedahkan maklumat sensitif mengenai persekitaran anda - perkara seperti perisian yang dipasang, laluan fail, atau butiran konfigurasi.

Sesetengah persekitaran hosting melumpuhkan exec() atas sebab ini. Tetapi jika anda tidak, dan anda menggunakannya dengan sembarangan, anda membuka pintu lebar.

Petua:

• Lumpuhkan eval() dan exec() dalam pengeluaran melainkan benar -benar diperlukan.
• Gunakan mod selamat PHP (walaupun tidak ditetapkan, perlu diperhatikan).
• Pantau log untuk eksekusi perintah yang tidak dijangka.

Singkatnya, sementara eval() dan exec() boleh berguna dalam senario yang sangat spesifik, mereka datang dengan risiko besar. Kebanyakan masa, ada cara yang lebih selamat untuk mencapai hasil yang sama tanpa menjalankan kod mentah atau perintah sistem. Oleh itu, melainkan jika anda benar -benar meletihkan pilihan lain - dan walaupun itu, hanya dengan berhati -hati - lebih baik untuk mengelakkan mereka sama sekali.

Pada dasarnya itu sahaja.

Atas ialah kandungan terperinci Apakah beberapa implikasi keselamatan menggunakan eval () atau exec () dalam php?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!