Усиление безопасности сервера. Отключение eval() в Apache2

Используйте disable_functions в php.ini(можете перестараться, поэтому отключаете только то, что можно отключить безопасно, проверяя работу сайтов после отключения каждой функции, так как некоторые CMS используют потенциально опасные функции для скриптов проверки лицензий и т.п.).

Возможно стоит также рассмотреть возможность установки WAF, к примеру mod_security, от части атак на дырявые скрипты он точно защитит.

Как раз спрашиваю по eval(). В php.ini можно отключить только функции, но это не функция, и в php.ini ее не отключишь согласно ссылке в посте выше.

Ну в последенем комменте ссылки выше рекомендуют нечто под названием PHP_diseval_extension, которое компилируется в модуль php и отключает.

Верно, это языковая конструкция. Что-бы её отключить, нужно поставить PHP_diseval_extension, как точно подметил mky. Но лично я с данным расширением дела не имел, поэтому рекомендовать его не берусь.

Вобще нужно брать пример с Макскома, он просто заменил php на java — кардинальный способ повысить безопасность LOR'а :-)

Ну, java не для каждого проекта сгодится;) А что-нибудь на python или ruby для небольших проектов - в самый раз.

В общем, я в ступоре. Нужно повысить безопасность, отключив опасные функции на сайтах. Технически это один сервер, на котором куча виртуалхостов.

Начинаю отключать функции, начинает отваливаться функционал сайтов.

В apache2 функции отключатся глобально, на весь сервер.