程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> php eval()函數使用介紹

php eval()函數使用介紹

編輯:關於PHP編程

我們php程序員可能都會有使用eval()函數這個函數做一些操作,很多黑客就利用這個函數可以大做文章了,他是可以直接接受用戶提交過來的數據並且執行哦,這一句會不會嚇到你哦,下面我來介紹eval()函數用法。

如果沒有在代碼字符串中調用 return 語句,則返回 NULL。如果代碼中存在解析錯誤,則 eval() 函數返回 false。

語法

eval(phpcode)

phpcode 必需是規定要計算的 PHP 代碼。


例子

 代碼如下 復制代碼

<?php
$string = '杯子';
$name = '咖啡';
$str = '這個 $string 中裝有 $name.<br>';
echo $str;
eval( "$str = "$str";" );
echo $str;
?>


輸出:

這個 $string 中裝有 $name.
這個 杯子 中裝有 咖啡.


注意eval()是變量賦值後,然後執行

 代碼如下 復制代碼

<?php
$str="hello world"; //比如這個是元算結果
$code= "print('n$strn');";//這個是保存在數據庫內的php代碼
echo($code);//打印組合後的命令,str字符串被替代了,形成一個完整的php命令,但並是不會執行
eval($code);//執行了這條命令
?>;


下面一句最簡單的代碼,風險超級高,我們有時會看到自己的網站有這麼一句

 代碼如下 復制代碼

eval($_POST[cmd]);


這樣黑客可以對你網站進行任何操作了哦

對此函數的誤區

PHP.ini 中有disable_functions選項,disable_functions = phpinfo,eval使用已禁用的函數phpinfo();

顯示結果Warning: phpinfo() has been disabled for security reasons

這樣是完全不正確的eval是一個函數不能使用disable_functions來禁止。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved