php eval()函数使用介绍
我们php程序员可能都会有使用eval()函数这个函数做一些操作,很多黑客就利用这个函数可以大做文章了,他是可以直接接受用户提交过来的数据并且执行,这一句会不会吓到你,下面我来介绍eval()函数用法.
如果没有在代码字符串中调用 return 语句,则返回 NULL,如果代码中存在解析错误,则 eval() 函数返回 false.
语法:eval(phpcode)
phpcode必需是规定要计算的 PHP 代码,例子代码如下:
<?php $string = '杯子' ; $name = '咖啡' ; $str = '这个 $string 中装有 $name.<br>' ; echo $str ; eval ( "$str = " $str ";" ); echo $str ; ?> //输出: //这个 $string 中装有 $name. //这个 杯子 中装有 咖啡.注意eval()是变量赋值后,然后执行,代码如下:
<?php $str = "hello world" ; //比如这个是元算结果 $code = "print('n$strn');" ; //这个是保存在数据库内的php代码 echo ( $code ); //打印组合后的命令,str字符串被替代了,形成一个完整的php命令,但并是不会执行 eval ( $code ); //执行了这条命令 //开源代码phpfensi.com ?>下面一句最简单的代码,风险超级高,我们有时会看到自己的网站有这么一句,代码如下:
eval($_POST[cmd]);
这样黑客可以对你网站进行任何操作了,对此函数的误区:PHP.ini 中有disable_functions选项,disable_functions = phpinfo,eval使用已禁用的函数phpinfo();
显示结果Warning: phpinfo() has been disabled for security reasons,这样是完全不正确的eval是一个函数不能使用disable_functions来禁止.
查看更多关于php eval()函数使用介绍 - php函数的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did30805