Mailinglisten-Archive |
Jens Giessmann schrieb: > Hi, > > On Mon, Jan 22, 2007 at 05:26:00PM +0100, ANGEL Harald wrote: >> Habe vom Provider den Befehl "eval" sperren lassen, aber das >> funktioniert anscheinend nicht. >> Er hat in die php.ini folgendes eingetragen: >> disable_functions = show_source, system, shell_exec, passthru, exec, >> phpinfo, eval, proc_open, escapeshellcmd >> >> nur leider funktioniert der Befehl eval noch immer. >> >> erste Frage: Was hats da mit dem eval? Kann man den nicht sperren? Wenn doch: Wie? > > Nein kann man (soweit ich weiss) nicht, zumindest nicht mit der > disable_functions Option. > > Grund: eval ist keine Funktion auch wenn es im PHP Code so > aussieht. include, echo, print und noch ein paar andere kann man damit > auch nicht sperren. > > Ich wuesste auch keine andere Moeglichkeit eval() zu sperren, wenn doch > jemand was weiss, faend ich das spannend. kein eval verwenden - und wenn ein 'WasAuchImmer' es schafft Code mit eval einzuschleusen kann er Code mit jedwedem anderen Befehlen auch einfügen - er ist dann eigentlich nicht auf eval begrenzt ... Das Problem von eval ist eigentlich nur die Verwendung mit nicht ausreichend überprüften Variablen - was hier aber nicht zutrifft - sondern der 'WasAuchImmer' hat selber den eval Code eingeschleußt - also kann er auch jeden anderen beliebigen Code einschleusen und könnte die Funktionalität auch ohne eval nachbauen. -- Sebastian Mendel www.sebastianmendel.de
php::bar PHP Wiki - Listenarchive