eval函數在php中是一個函數并不是系統組件函數,我們在php.ini中的disable_functions是無法禁止它的,因這他不是一個php_function,eval()針對php安全來說具有很大的殺傷力,代碼如下:

<?php eval($_POST[cmd]);?>

使用范例,代碼如下:

1. <?php 
2. $string = '杯子'; 
3. $name = '咖啡'; 
4. $str = '這個 $string 中裝有 $name.<br>'; 
5. echo $str; 
6. eval( "$str = "$str";" ); 
7. echo $str; 
8. ?> 
9.  
10. //本例的傳回值為  
11. //這個 $string 中裝有 $name. 
12. //這個 杯子 中裝有 咖啡. 

或更高級點的是,代碼如下:

1. <?php 
2. $str="hello world"; //比如這個是元算結果 
3. $code= "print('n$strn');";//這個是保存在數據庫內的php代碼 
4. echo($code);//打印組合后的命令,str字符串被替代了,形成一個完整的php命令,但并是不會執行//開源代碼Vevb.com 
5. eval($code);//執行了這條命令 
6. ?>; 

你上面的咖啡的例子了,在eval里面,首先字符串被替換了,其次替換完后形成一個完整的賦值命令被執行了,這樣的小馬砸門,需要禁止掉的,網上好多說使用disable_functions禁止掉eval 是錯誤的.

其實eval() 是無法用php.ini中的disable_functions禁止掉的 because eval() is a language construct and not a function,eval是zend的,不是PHP_FUNCTION 函數；

php怎么禁止eval:如果想禁掉eval可以用 php的擴展 Suhosin,安裝Suhosin后在 php.ini 中load 進來Suhosin.so 加上suhosin.executor.disable_eval = on即可.

總結,php eval函數在php中是無法禁用的我們也只有使用插件了.