28、PHP开发中的安全与应用技术

PHP开发中的安全与应用技术

1. PHP代码安全

在PHP开发中，代码安全至关重要。以下是一些关键的安全措施：
- 禁用特定函数 ：可以在 php.ini 文件的 disable_functions 配置选项中，通过逗号分隔列出要禁用的函数，从而全局禁用特定的函数调用。例如，若不需要 system() 函数，可这样设置：

disable_functions = system

不过，这并不能让 eval() 函数更安全，因为无法阻止重要变量被更改或内置结构（如 echo() ）被调用。
- 避免使用危险函数 ： eval() 和 preg_replace() 的 /e 选项非常危险，尤其是在调用中使用用户输入的数据时。例如：

eval("2 + {$userInput}");

如果用户输入 2; mail("[email protected]", "Some passwords", "/bin/cat /etc/passwd"); ，预期的命令和不希望执行的命令都会被执行。因此，绝不要将用户提供的数据用于 eval()