Как отключить модификатор 'e' PREG_REPLACE_EVAL в PHP?

Ответ 1

Расширение Suhosin предоставляет возможность отключить модификатор /e.

disable_functions = eval кстати не будет делать то, что вы ожидаете (поскольку eval не функция, а языковая конструкция). Опять же расширение Suhosin предоставляет возможность отключить eval.

Ответ 2

найти и заменить?:)

Нет, вы не можете отключить определенную функциональность определенной функции.

Однако вы можете сохранить обновленный и защищенный сервер. Вы можете попытаться запустить процесс apache в chroot, ограничить используемые ресурсы, установить брандмауэр и т.д.... вы можете найти множество руководств о том, как защитить вашу установку linux в сети.

Я нашел, что они связаны с wordpress, похоже на кучу разумных советов:

• http://wp.tutsplus.com/tutorials/security/20-steps-to-a-flexible-and-secure-wordpress-installation/
• http://codex.wordpress.org/Hardening_WordPress

Ответ 3

Чтобы удалить модификатор "e" из регулярных выражений (например, если пользователь имеет доступ к установке регулярных выражений в приложениях), я написал функцию, чтобы вырезать модификатор "e" из любого шаблона регулярного выражения.

function remove_emodifier($pattern)
{
    $pattern_parts = explode($pattern{0}, trim($pattern));
    $pattern_last = sizeof($pattern_parts) - 1;
    $pattern_parts[$pattern_last] = str_replace('e', '', $pattern_parts[$pattern_last]);

    return implode($pattern{0}, $pattern_parts);
}

echo preg_replace('/^(.*)$/iex', 'strrev("\\1")', 'my_string'); // gnirts_ym
echo preg_replace(remove_emodifier('/^(.*)$/iex'), 'strrev("\\1")', 'my_string'); // strrev("my_string")

echo remove_emodifier('|abc|eix'); // |abc|ix
echo remove_emodifier('#.+(\d+)#iseU'); // #.+(\d+)#isU

Ответ 4

Расширение Diseval PHP также отключит модификатор /e как в php5, так и php7, в то же время отключив eval: https://github.com/mk-j/PHP_diseval_extension