我們php程序員可能都會有使用eval()函數這個函數做一些操作,很多黑客就利用這個函數可以大做文章了,他是可以直接接受用戶提交過來的數據並且執行哦,這一句會不會嚇到你哦,下面我來介紹eval()函數用法。
如果沒有在代碼字符串中調用 return 語句,則返回 NULL。如果代碼中存在解析錯誤,則 eval() 函數返回 false。
語法
eval(phpcode)
phpcode 必需是規定要計算的 PHP 代碼。
例子
<?php
$string = '杯子';
$name = '咖啡';
$str = '這個 $string 中裝有 $name.<br>';
echo $str;
eval( "$str = "$str";" );
echo $str;
?>
輸出:
這個 $string 中裝有 $name.
這個 杯子 中裝有 咖啡.
注意eval()是變量賦值後,然後執行
<?php
$str="hello world"; //比如這個是元算結果
$code= "print('n$strn');";//這個是保存在數據庫內的php代碼
echo($code);//打印組合後的命令,str字符串被替代了,形成一個完整的php命令,但並是不會執行
eval($code);//執行了這條命令
?>;
下面一句最簡單的代碼,風險超級高,我們有時會看到自己的網站有這麼一句
eval($_POST[cmd]);
這樣黑客可以對你網站進行任何操作了哦
對此函數的誤區
PHP.ini 中有disable_functions選項,disable_functions = phpinfo,eval使用已禁用的函數phpinfo();
顯示結果Warning: phpinfo() has been disabled for security reasons
這樣是完全不正確的eval是一個函數不能使用disable_functions來禁止。