需警惕PHP 8.4中eval()引发的远程代码执行风险,因其无法被disable_functions禁用;可行方法包括:一、启用PHP_diseval_extension扩展;二、部署Suhosin7兼容补丁版;三、启用宝塔内置PHP安全防护模块;四、手动注入Zend扩展钩子。
如果您在宝塔面板中运行 PHP 8.4 环境,发现存在使用 eval() 的代码路径,则需警惕其引发的远程代码执行风险。eval() 是 PHP 语言构造器,无法通过 php.ini 中的 disable_functions 直接禁用,必须采用扩展级或内核级干预手段。以下是针对 PHP 8.4 禁用 eval 的多种可行方法及其操作步骤:
一、启用 PHP_diseval_extension 扩展
PHP_diseval_extension 是专为 PHP 8.x 设计的轻量级扩展,通过编译注入方式拦截 eval 调用指令,在 Zend 引擎层直接拒绝执行,不修改 PHP 源码,兼容性高且无性能损耗。
1、登录服务器,进入根目录执行:cd / && git clone https://github.com/mk-j/PHP_diseval_extension.git
2、进入源码目录:cd /PHP_diseval_extension/source
立即学习“PHP免费学习笔记(深入)”;
3、使用 PHP 8.4 对应的 phpize 路径执行初始化(以宝塔默认路径为例):/www/server/php/84/bin/phpize
4、配置编译参数(注意替换 --with-php-config 路径为实际 PHP 8.4 的 php-config 位置):./configure --with-php-config=/www/server/php/84/bin/php-config
5、赋予 configure 可执行权限后重新运行:chmod +x ./configure && ./configure --with-php-config=/www/server/php/84/bin/php-config
6、编译并安装:make && make install
7、编辑 PHP 8.4 的 php.ini 文件(路径通常为 /www/server/php/84/etc/php.ini),在 extension_dir 下方新增一行:extension=php_diseval.so
8、重启 PHP 服务:service php-fpm-84 restart
二、部署 Suhosin7 兼容补丁版
Suhosin 原生不支持 PHP 8.x,但社区已发布适配 PHP 8.4 的 suhosin7 补丁分支,通过重写 executor 执行器逻辑实现 eval 禁用,同时保留 suhosin.executor.disable_eval 配置项语义,适合已有 Suhosin 运维习惯的用户。
1、下载适配 PHP 8.4 的 suhosin7 分支源码(推荐使用 GitHub 上 verified-for-php84 标签版本):git clone -b verified-for-php84 https://github.com/suhosin/suhosin7.git
2、进入源码目录:cd suhosin7
3、调用 PHP 8.4 的 phpize:/www/server/php/84/bin/phpize
4、配置时指定 PHP 8.4 的 php-config:./configure --with-php-config=/www/server/php/84/bin/php-config
5、编译安装:make && make install
6、在 PHP 8.4 的 php.ini 中添加两行配置:extension=suhosin7.so
7、继续添加:suhosin.executor.disable_eval=on
8、验证模块加载:/www/server/php/84/bin/php -m | grep -i suhosin
三、启用宝塔内置 PHP 安全防护模块
宝塔面板 7.0+ 版本集成 PHP 内核级防御模块,该模块工作于 opcode 编译阶段,可识别并阻断含 eval、assert、create_function 等危险函数调用的脚本加载,无需编译扩展,配置即生效,适用于多 PHP 版本共存场景。
1、登录宝塔面板,进入【网站】→ 选择目标站点 → 点击【设置】→ 切换至【PHP 设置】选项卡
2、点击【禁用函数】右侧的【管理】按钮
3、在弹出窗口中勾选:eval(此时面板会自动识别并启用内核级拦截,而非仅写入 disable_functions)
4、确认保存后,点击【重载配置】按钮
5、在终端执行验证命令:/www/server/php/84/bin/php -r "eval('echo 1;');",若返回 Fatal error: Uncaught Error: Call to undefined function eval(),则表示拦截成功
四、手动注入 Zend 扩展钩子(高级运维)
适用于对 PHP 内部机制熟悉、需最小侵入式控制的场景。该方法通过编写极简 Zend 扩展,在 zend_compile_file 和 zend_execute_ex 两个关键钩子点注入检测逻辑,一旦发现 ZEND_EVAL_STRING 指令立即中止执行,不依赖第三方扩展,完全自主可控。
1、创建钩子源文件 hook_eval.c,内容包含 zend_extension 结构体定义及 execute_ex 替换逻辑
2、使用 PHP 8.4 SDK 头文件编译:gcc -I/www/server/php/84/include/php -I/www/server/php/84/include/php/main -I/www/server/php/84/include/php/Zend -I/www/server/php/84/include/php/TSRM -fPIC -shared -o hook_eval.so hook_eval.c
3、将生成的 hook_eval.so 放入 PHP 扩展目录:cp hook_eval.so /www/server/php/84/lib/php/extensions/no-debug-non-zts-20230831/
4、在 php.ini 中添加:zend_extension=hook_eval.so
5、重启 PHP-FPM:systemctl restart php-fpm-84
